تفاصيل التوافق التنظيمي المضمن في مبادرة RMIT ماليزيا
توضح المقالة التالية كيفية تعيين تعريف مبادرة مضمنَّات التوافق التنظيمي لـ Azure Policy إلى مجالات التوافق وعناصر التحكم في RMIT ماليزيا. لمزيد من المعلومات حول معيار التوافق هذا، راجع RMIT ماليزيا. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
إن التعيينات التالية مخصصة لعناصر تحكم RMIT ماليزيا. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة للامتثال التنظيمي ل RMIT Malaysia وحدده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
التشفير
التشفير - 10.16
المعرف: RMiT 10.16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | يمكن أن يؤدي الحذف الضار لـ HSM المدارة في Azure Key Vault إلى فقدان البيانات بشكل دائم. يمكن لأي برنامج ضار داخلي داخل مؤسستك حذف ومسح HSM المدار في Azure Key Vault. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاحتفاظ الإلزامية على HSM المدارة في Azure Key Vault المحذوف مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح HSM المدارة في Azure Key Vault خلال فترة الاحتفاظ بالحذف المبدئي. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
التشفير - 10.19
المعرف: RMiT 10.19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم خدمة Key Vault نقطة نهاية خدمة شبكة ظاهرية | يساعد هذا النهج على مراجعة جميع خدمات Key Vault التي تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
التشفير - 10.20
المعرف: RMiT 10.20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
عمليات مركز البيانات
عمليات مركز البيانات - 10.27
المعرف: RMiT 10.27 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| نشر - تكوين عامل Log Analytics ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | توزيع ملحق Log Analytics لمجموعات مقياس أجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الجهاز الظاهري في المجموعة عن طريق تحديثه. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
عمليات مركز البيانات - 10.30
المعرف: RMiT 10.30 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
مرونة الشبكة
مرونة الشبكة - 10.33
المعرف: RMiT 10.33 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب توزيع مجموعة حاويات Azure Container Instance في شبكة ظاهرية | قم بتأمين الاتصال بين الحاويات وAzure Virtual Networks. عند تحديد شبكة ظاهرية، يمكن للموارد الموجودة داخل الشبكة الظاهرية الاتصال مع بعضها البعض بشكل آمن وخاص. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب ألا تستخدم بوابات Azure VPN SKU "الأساسية" | يضمن هذا النهج عدم استخدام بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | المراجعة، معطلة | 1.0.0 |
| القيام بتكوين تكوين التطبيق لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لتكوين التطبيقات بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. يساعد هذا التكوين في حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من تعرض الموارد الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | تعديل، تعطيل | 1.0.0 |
| يجب أن يعطل Azure SQL Server الوصول إلى الشبكة العامة | إذ يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى إيقاف تشغيل الاتصال العام حتى لا يمكن الوصول إلى Azure SQL Server إلا من نقطة نهاية خاصة. ويعمل هذا التكوين على تعطيل الوصول إلى شبكة الاتصال العامة لكل قواعد البيانات ضمن SQL Server Azure. | تعديل، تعطيل | 1.0.0 |
| تكوين SQL Server Azure لتمكين اتصالات نقطة النهاية الخاصة | يتيح اتصال نقطة النهاية الخاصة إمكانية الاتصال الخاص بـ Azure SQL Database عبر عنوان IP خاص داخل إحدى الشبكات الظاهرية. يعمل هذا التكوين على تحسين وضع الأمان ودعم أدوات شبكات Azure وسيناريوهاتها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين سجلات حاوية لتعطيل الوصول إلى شبكة الاتصال العامة | تعطيل الوصول إلى الشبكة العامة لمورد تسجيل الحاويات بحيث لا يمكن الوصول إليه عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد في https://aka.ms/acr/portal/public-network وhttps://aka.ms/acr/private-link. | تعديل، تعطيل | 1.0.0 |
| تكوين الأقراص المدارة لتعطيل الوصول إلى الشبكة العامة | عطِّل الوصول إلى الشبكة العامة لمورد القرص المدار بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | تعديل، تعطيل | 2.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يستخدم Cosmos DB نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة قاعدة بيانات COSMOS DB التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم Event Hub نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي Event Hub لم تتم تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب على الأقراص المدارة تعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض قرص مدار على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض الأقراص المدارة. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | المراجعة، معطلة | 2.0.0 |
| تعديل - تكوين Azure File Sync لتعطيل إمكانية الوصول إلى الشبكة العامة | يتم تعطيل نقطة النهاية العامة الخاصة بـ Azure File Sync والتي يمكن الوصول إليها عبر الإنترنت من خلال نهج المؤسسة الخاص بك. ولا يزال بإمكانك الوصول إلى خدمة Storage Sync Service عبر نقطة النهاية الخاصة بها. | تعديل، تعطيل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل وصول شبكة الاتصال العامة لسجلات الحاويات | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض سجلات الحاويات على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض موارد تسجيل الحاويات. تعرّف على المزيد من خلال: https://aka.ms/acr/portal/public-networkو https://aka.ms/acr/private-link. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب توصيل الأجهزة الظاهرية بشبكة ظاهرية معتمدة | يقوم هذا النهج بمراجعة أي جهاز افتراضي متصل بشبكة افتراضية غير معتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
| يجب أن تستخدم الشبكات الافتراضية بوابة شبكة اتصال افتراضية محددة | يقوم هذا النهج بمراجعة أي شبكة اتصال افتراضية إذا لم يشر المسار الافتراضي إلى بوابة الشبكة الافتراضية المحددة. | AuditIfNotExists، معطل | 1.0.0 |
مرونة الشبكة - 10.35
المعرف: RMiT 10.35 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| نشر - تكوين عامل Log Analytics ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | توزيع ملحق Log Analytics لمجموعات مقياس أجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الجهاز الظاهري في المجموعة عن طريق تحديثه. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
مرونة الشبكة - 10.38
المعرف: RMiT 10.38 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة عمل مخصصة. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل مخصصة. | DeployIfNotExists، معطل | 1.0.0 |
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة العمل الافتراضية. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل ASC الافتراضية. | DeployIfNotExists، معطل | 1.0.0 |
مرونة الشبكة - 10.39
المعرف: RMiT 10.39 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تطبيق نهج IPsec/IKE مخصص على جميع اتصالات بوابة الشبكة الظاهرية Azure | يضمن هذا النهج استخدام كافة اتصالات بوابة الشبكة الافتراضية في Azure نهج مخصص لأمان بروتوكول الإنترنت (Ipsec) / مفتاح إنترنت Exchange(IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | المراجعة، معطلة | 1.0.0 |
| ينبغي أن يستخدم خادم SQL Server نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة خوادم SQL Server التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| تستخدم حسابات التخزين نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي حساب تخزين لم تُجرَ تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
خدمات السحابة
Cloud Services - 10.49
المعرف: RMiT 10.49 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يطابق موقع مورد التدقيق موقع مجموعة الموارد | تحقق من مطابقة موقع المورد لموقع مجموعة الموارد الخاصة به | تحقق | 2.0.0 |
| يجب تمكين تقييد الاتصال "Connection throttling" لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "Connection Throttling". يتيح هذا الإعداد تقييد الاتصال المؤقت لكل عنوان IP للعديد من حالات فشل تسجيل الدخول غير الصالحة لكلمة المرور. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تتجنب SQL Database استخدام التكرار الاحتياطي لـ GRS | يجب أن تتجنب قواعد البيانات استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. | رفض، مُعطل | 2.0.0 |
| يجب أن تتجنب SQL Managed Instance استخدام التكرار الاحتياطي لـ GRS | يجب أن تتجنب Managed Instances استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. | رفض، مُعطل | 2.0.0 |
الخدمات السحابية - 10.51
المعرف: RMiT 10.51 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
Cloud Services - 10.53
المعرف: RMiT 10.53 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم تكوين التطبيق مفتاحاً مداراً من قبل العميل | توفر المفاتيح المدارة من قبل العملاء حماية محسنة للبيانات من خلال السماح لك بإدارة مفاتيح التشفير. وغالباً ما يكون ذلك مطلوباً للوفاء بمتطلبات التوافق. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب أن تستخدم الأقراص المدارة مجموعة معينة من مجموعات تشفير القرص لتشفير المفاتيح المدارة من قبل العميل | يمنحك طلب مجموعة محددة من مجموعات تشفير الأقراص لاستخدامها مع الأقراص المُدارة التحكم في المفاتيح المستخدمة للتشفير الثابت. يمكنك تحديد المجموعات المشفرة المسموح بها، ويتم رفض كافة المجموعات الأخرى عند إرفاقها بقرص. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK | يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
التحكم في الوصول
التحكم في الوصول - 10.54
المعرف: RMiT 10.54 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يعطل تكوين التطبيق الوصول إلى شبكة الاتصال العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين المصادقة لتطبيقات App Service | تُعد "App Service Authentication" من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى تطبيق الويب. | AuditIfNotExists، معطل | 2.0.1 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين المصادقة لتطبيقات الوظائف | تُعد Azure App Service Authentication ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى Function App أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى Function App. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
Access Control - 10.55
المعرف: RMiT 10.55 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعريف قواعد التخويل على مثيل Event Hub | تدقيق وجود قواعد التخويل على كيانات Event Hub لمنح الوصول الأقل امتيازًا | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
التحكم في الوصول - 10.58
المعرف: RMiT 10.58 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
التحكم في الوصول - 10.60
المعرف: RMiT 10.60 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
التحكم في الوصول - 10.61
المعرف: RMiT 10.61 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التحكم في الوصول - 10.62
المعرف: RMiT 10.62 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
إدارة نظام التصحيح ونهاية العمر الافتراضي
إدارة نظام التصحيح ونهاية العمر الافتراضي - 10.63
المعرف: RMiT 10.63 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا | يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
إدارة نظام التصحيح ونهاية العمر الافتراضي - 10.65
المعرف: RMiT 10.65 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
أمن الخدمات الرقمية
أمن الخدمات الرقمية - 10.66
المعرف: RMiT 10.66 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب الاحتفاظ بسجل النشاط لمدة سنة واحدة على الأقل | يقوم هذا النهج بتدقيق سجل النشاط إذا لم يتم تعيين الاحتفاظ لمدة 365 يوماً أو إلى الأبد (تعيين أيام الاحتفاظ إلى "0"). | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق إعداد التشخيص للأنوع المحددة من الموارد | تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط. | AuditIfNotExists | 2.0.1 |
| يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء" | يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء' | AuditIfNotExists، معطل | 1.0.0 |
| يجب ربط سجلات Azure Monitor لـ Application Insights بمساحة عمل Log Analytics | قم بربط مكون Application Insights بمساحة عمل Log Analytics لتشفير السجلات. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى البيانات في Azure Monitor. كما يضمن ربط المكون الخاص بك بمساحة عمل Log Analytics التي تم تمكينها بمفتاح يديره العميل أن تفي سجلات Application Insights الخاصة بك بمتطلبات الامتثال هذه، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق | يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب نشر حل "الأمان والتدقيق" الخاص بـ Azure Monitor | يضمن هذا النهج نشر الأمان والتدقيق. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط | يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث. | AuditIfNotExists، معطل | 1.0.0 |
| نشر - تكوين إعدادات التشخيص لـ SQL Databases إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ SQL Databases لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي SQL Databases تفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 4.0.0 |
| توزيع - تكوين ملحق Log Analytics ليتم تمكينه على أجهزة Windows الظاهرية | توزيع ملحق Log Analytics لأجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| نشر الإعدادات التشخيصية لـ Batch Account إلى Event Hub | لنشر إعدادات التشخيص لـ Batch Account للبث إلى Event Hub إقليمي عند إنشاء أي Batch Account أو تحديثه يفتقر لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Batch Account إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Batch Account من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Batch Account يفتقر إعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات تشخيصية لـ Data Lake Analytics إلى Event Hub | لنشر إعدادات التشخيص لـ Data Lake Analytics للبث إلى Event Hub إقليمي عند إنشاء أي Data Lake Analytics يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Data Lake Analytics إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Data Lake Analytics من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Data Lake Analytics يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Data Lake Storage Gen1 إلى Event Hub | لنشر إعدادات التشخيص لـ Data Lake Storage Gen1 للبث إلى Event Hub إقليمي عند إنشاء أي Data Lake Storage Gen1 يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Data Lake Storage Gen1 إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Data Lake Storage Gen1 من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Data Lake Storage Gen1 يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Event Hub إلى Event Hub | لنشر إعدادات التشخيص لـ Event Hub للبث إلى Event Hub إقليمي عند إنشاء أي Event Hub يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.1.0 |
| نشر إعدادات التشخيص لـ Event Hub إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Event Hub من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Event Hub يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Key Vault إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Key Vault للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Key Vault يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 3.0.0 |
| نشر الإعدادات التشخيصية لـ Logic Apps إلى Event Hub | لنشر إعدادات التشخيص لـ Logic Apps للبث إلى Event Hub إقليمي عند إنشاء أي Logic Apps تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Logic Apps إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Logic Apps للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Logic Apps تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Search Services إلى Event Hub | لنشر إعدادات التشخيص لـ Search Services للبث إلى Event Hub إقليمي عند إنشاء أي Search Services تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Search Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Search Services للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Search Services تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Service Bus إلى Event Hub | لنشر إعدادات التشخيص لـ Service Bus للبث إلى Event Hub إقليمي عند إنشاء أي Service Bus يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Service Bus إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Service Bus للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Service Bus يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.1.0 |
| نشر الإعدادات تشخيصية لـ Stream Analytics إلى Event Hub | لنشر إعدادات التشخيص لـ Stream Analytics للبث إلى Event Hub إقليمي عند إنشاء أي Stream Analytics تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Stream Analytics إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Stream Analytics من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Stream Analytics تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة | يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1 |
| يجب تمكين سجلات الموارد في HSM المدارة في Azure Key Vault | لإعادة إنشاء مسارات النشاط لأغراض التحري؛ عند حدوث حادث أمني أو عند اختراق الشبكة، قد ترغب في التدقيق من خلال تمكين سجلات المورد على وحدات HSM. يرجى اتباع التعليمات هنا: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري | يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً | يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 |
أمن الخدمات الرقمية - 10.68
المعرف: RMiT 10.68 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
الهجمات الموزعة لحجب الخدمة (DDoS)
الهجمات الموزعة لحجب الخدمة (DDoS) - 11.13
المعرف: RMiT 11.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
منع فقدان البيانات (DLP)
منع فقدان البيانات (DLP) - 11.15
المعرف: RMiT 11.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | يمكن أن يؤدي الحذف الضار لـ HSM المدارة في Azure Key Vault إلى فقدان البيانات بشكل دائم. يمكن لأي برنامج ضار داخلي داخل مؤسستك حذف ومسح HSM المدار في Azure Key Vault. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاحتفاظ الإلزامية على HSM المدارة في Azure Key Vault المحذوف مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح HSM المدارة في Azure Key Vault خلال فترة الاحتفاظ بالحذف المبدئي. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| القيام بتكوين تكوين التطبيق لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لتكوين التطبيقات بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. يساعد هذا التكوين في حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من تعرض الموارد الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | تعديل، تعطيل | 1.0.0 |
| يجب أن يعطل Azure SQL Server الوصول إلى الشبكة العامة | إذ يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى إيقاف تشغيل الاتصال العام حتى لا يمكن الوصول إلى Azure SQL Server إلا من نقطة نهاية خاصة. ويعمل هذا التكوين على تعطيل الوصول إلى شبكة الاتصال العامة لكل قواعد البيانات ضمن SQL Server Azure. | تعديل، تعطيل | 1.0.0 |
| تكوين سجلات حاوية لتعطيل الوصول إلى شبكة الاتصال العامة | تعطيل الوصول إلى الشبكة العامة لمورد تسجيل الحاويات بحيث لا يمكن الوصول إليه عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد في https://aka.ms/acr/portal/public-network وhttps://aka.ms/acr/private-link. | تعديل، تعطيل | 1.0.0 |
| تكوين الأقراص المدارة لتعطيل الوصول إلى الشبكة العامة | عطِّل الوصول إلى الشبكة العامة لمورد القرص المدار بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | تعديل، تعطيل | 2.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب على الأقراص المدارة تعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض قرص مدار على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض الأقراص المدارة. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | المراجعة، معطلة | 2.0.0 |
| يجب أن تستخدم الأقراص المدارة مجموعة معينة من مجموعات تشفير القرص لتشفير المفاتيح المدارة من قبل العميل | يمنحك طلب مجموعة محددة من مجموعات تشفير الأقراص لاستخدامها مع الأقراص المُدارة التحكم في المفاتيح المستخدمة للتشفير الثابت. يمكنك تحديد المجموعات المشفرة المسموح بها، ويتم رفض كافة المجموعات الأخرى عند إرفاقها بقرص. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 2.0.0 |
| تعديل - تكوين Azure File Sync لتعطيل إمكانية الوصول إلى الشبكة العامة | يتم تعطيل نقطة النهاية العامة الخاصة بـ Azure File Sync والتي يمكن الوصول إليها عبر الإنترنت من خلال نهج المؤسسة الخاص بك. ولا يزال بإمكانك الوصول إلى خدمة Storage Sync Service عبر نقطة النهاية الخاصة بها. | تعديل، تعطيل | 1.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
مركز العمليات الأمنية
مركز العمليات الأمنية - 11.17
المعرف: RMiT 11.17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
مركز العمليات الأمنية - 11.18
المعرف: RMiT 11.18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تسجيل حالات قطع الاتصال لخوادم قاعدة بيانات PostgreSQL. | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "log_disconnections". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين نقاط فحص السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_checkpoints". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجل الاتصالات لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_connections". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين مدة السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_duration". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| ينبغي أن تتضمن إعدادات تدقيق SQL مجموعات إجراءات تم تكوينها لحفظ الأنشطة الحيوية | يجب أن تحتوي خاصية AuditActionsAndGroups على SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP وFAILED_DATABASE_AUTHENTICATION_GROUP وBATCH_COMPLETED_GROUP على الأقل لضمان تسجيل تدقيق شامل | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
مركز العمليات الأمنية (SOC) - 11.20
المعرف: RMiT 11.20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
إدارة المخاطر السيبرانية
إدارة المخاطر السيبرانية - 11.2
المعرف: RMiT 11.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
إدارة المخاطر السيبرانية - 11.4
المعرف: RMiT 11.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية بدون علامة معينة إلى حاوية حالية لخدمات للنسخ الاحتياطي في نفس الموقع | فرض النسخ الاحتياطي على جميع الأجهزة الظاهرية عن طريق نسخها احتياطيًا إلى حاوية مركزية حالية لخدمات النسخ الاحتياطي في نفس الموقع والاشتراك مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يكون هناك فريق مركزي في مؤسستك يدير النسخ الاحتياطية لكافة الموارد في الاشتراك. يمكنك اختياريًا استبعاد الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| أنواع الموارد غير المسموح بها | تقييد أنواع الموارد التي يمكن نشرها في بيئتك. يمكن أن يؤدي الحد من أنواع الموارد إلى تقليل التعقيد والهجوم على سطح بيئتك بينما يساعد أيضًا في إدارة التكاليف. لا يتم عرض سوى نتائج الامتثال الخاصة بالموارد غير المتوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
عمليات الأمان
عمليات الأمن السيبراني - 11.5
المعرف: RMiT 11.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| نشر Defender for Storage (كلاسيكي) على حسابات التخزين | يتيح هذا النهج Defender for Storage (كلاسيكي) على حسابات التخزين. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
Cybersecurity Operations - 11.8
المعرف: RMiT 11.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
تدابير الرقابة على الأمان عبر الإنترنت
تدابير الرقابة على الأمان عبر الإنترنت - الملحق 5.2
المعرف: ملحق RMiT 5.2 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
تدابير الرقابة على الأمن السيبراني - الملحق 5.3
المعرف: ملحق RMiT 5.3 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
تدابير الرقابة على الأمان عبر الإنترنت - الملحق 5.5
المعرف: ملحق RMiT 5.5 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تطبيق نهج IPsec/IKE مخصص على جميع اتصالات بوابة الشبكة الظاهرية Azure | يضمن هذا النهج استخدام كافة اتصالات بوابة الشبكة الافتراضية في Azure نهج مخصص لأمان بروتوكول الإنترنت (Ipsec) / مفتاح إنترنت Exchange(IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم خدمات مجموعة Kubernetes عناوين IP الخارجية المسموح بها فقط | استخدم عناوين IP الخارجية المسموح بها لتجنب الهجوم المحتمل (CVE-2020-8554) في مجموعة Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
Control Measures on Cybersecurity - Appendix 5.6
المعرف: ملحق RMiT 5.6 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إلى Azure SQL Database إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن يستخدم خادم MariaDB نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ MariaDB مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ MariaDB تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن يستخدم خادم MySQL نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ MariaDB مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ MySQL تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن يستخدم خادم PostgreSQL نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ PostgreSQL مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ PostgreSQL تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 3.0.1 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن يحتوي SQL Managed Instance على أدنى إصدار من تشفير TLS وهو الإصدار 1.2 | إذ يؤدي تعيين الحد الأدنى من إصدار TLS إلى 1.2 إلى تحسين الأمان عن طريق التأكد من أنه لا يمكن الوصول إلى SQL Managed Instance إلا من خلال العملاء الذين يستخدمون TLS 1.2. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين قاعدة جدار حماية الشبكة الظاهرية في Azure SQL Database للسماح بحركة المرور من الشبكة الفرعية المحددة | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure SQL Database مع ضمان بقاء حركة المرور داخل حدود Azure. | AuditIfNotExists | 1.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق | تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service | تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
تدابير الرقابة على الأمان عبر الإنترنت - الملحق 5.7
المعرف: ملحق RMiT 5.7 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| تكوين SQL Server Azure لتمكين اتصالات نقطة النهاية الخاصة | يتيح اتصال نقطة النهاية الخاصة إمكانية الاتصال الخاص بـ Azure SQL Database عبر عنوان IP خاص داخل إحدى الشبكات الظاهرية. يعمل هذا التكوين على تحسين وضع الأمان ودعم أدوات شبكات Azure وسيناريوهاتها. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows | يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware. | AuditIfNotExists، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
| يجب معالجة الثغرات في تكوينات أمان الحاوية | تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure. | AuditIfNotExists، معطل | 3.0.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.