تفاصيل مبادرة الامتثال التنظيمي المضمنة للمسؤولين في المملكة المتحدة ودائرة الصحة الوطنية في المملكة المتحدة
توضح المقالة التالية كيفية تعيين تعريف مبادرة مضمنَّات الامتثال التنظيمي لنهج Azure إلى مجالات الامتثال و عناصر التحكم في المسؤولين في المملكة المتحدة ودائرة الصحة الوطنية في المملكة المتحدة. لمزيد من المعلومات عن معيار التوافق المذكور، راجع المسؤولين في المملكة المتحدة ودائرة الصحة الوطنية في المملكة المتحدة. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
التعيينات التالية إلى عناصر التحكم في المسؤولين في المملكة المتحدة ودائرة الصحة الوطنية في المملكة المتحدة. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم، ابحث عن النسخة المنقحة لتعريف مبادرة الامتثال التنظيمي المضمنة للمسؤولين في المملكة المتحدة ودائرة الصحة الوطنية في المملكة المتحدة وحدّدها.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
حماية البيانات أثناء النقل
حماية البيانات أثناء النقل
المعرف: المملكة المتحدة NCSC CSP 1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
الأمان والمصادقة
الأمان والمصادقة
المعرف: المملكة المتحدة NCSC CSP 10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 2.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
حماية الواجهة الخارجية
حماية الواجهة الخارجية
المعرف: المملكة المتحدة NCSC CSP 11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
معلومات التدقيق للمستخدمين
معلومات التدقيق للمستخدمين
المعرف: المملكة المتحدة NCSC CSP 13 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق إعداد التشخيص للأنوع المحددة من الموارد | تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط. | AuditIfNotExists | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
المرونة وحماية الأصول
حماية البيانات الثابتة
المعرف: المملكة المتحدة NCSC CSP 2.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
الأمان التشغيلي
إدارة الثغرات الأمنية
المعرف: المملكة المتحدة NCSC CSP 5.2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
المراقبة الوقائية
المعرف: المملكة المتحدة NCSC CSP 5.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
إدارة آمنة للمستخدم
مصادقة المستخدمين على واجهات الإدارة وقنوات الدعم
المعرف: المملكة المتحدة NCSC CSP 9.1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.