Podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure

Následující článek podrobně popisuje, jak Azure Policy předdefinované definice iniciativy dodržování předpisů mapuje na domény dodržování předpisů a kontroly v srovnávacím testu zabezpečení Azure. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test zabezpečení Azure. Informace o vlastnictví najdete v tématu Azure Policy definice zásad a sdílená odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky srovnávacích testů zabezpečení Azure . Pomocí navigace vpravo můžete přejít přímo na konkrétní doménu dodržování předpisů. Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy. Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásadu na Azure Portal a vyberte stránku Definice. Pak vyhledejte a vyberte předdefinované definice iniciativy dodržování předpisů pro srovnávací testy zabezpečení Azure .

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definicí Azure Policy. Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů s kontrolou; Často však neexistuje shoda 1:1 nebo úplná shoda mezi ovládacím prvku a jednou nebo více zásadami. Dodržování předpisů v Azure Policy odkazuje jenom na samotné definice zásad. Tím se nezajistíte, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli vyřešeny žádnými definicemi Azure Policy. Dodržování předpisů v Azure Policy je proto jen částečným zobrazením celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Zabezpečení sítě

Vytvoření hranic segmentace sítě

ID: Vlastnictví NS-1 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení pravidel skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. AuditIfNotExists, Zakázáno 3.0.0
Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Azure Security Center identifikovala některá příchozí pravidla skupin zabezpečení sítě tak, aby byla příliš permissivní. Příchozí pravidla by neměla povolit přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit cílení na vaše prostředky. AuditIfNotExists, Zakázáno 3.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, Zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte virtuální počítače bez internetu před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, Zakázáno 3.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, Zakázáno 3.0.0

Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

ID: Vlastnictví NS-2 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault Private Link poskytuje způsob připojení Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Audit, Odepřít, Zakázáno 1.1.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup ke čtení ke kontejnerům a objektům blob ve službě Azure Storage je pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo únikům dat způsobeným nepotřebným anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 3.1.0-preview
API Management služby by měly používat virtuální síť Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetově směrovatelné sítě, ke které řídíte přístup. Tyto sítě se pak dají připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, zakázáno 1.0.1
App Configuration by měl používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Zakázáno 1.0.2
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních oblastech. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby k clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na vaše instance Azure Cache for Redis se sníží rizika úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Zakázáno 1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by měla být definována ve vašich účtech služby Azure Cosmos DB, aby se zabránilo provozu z neautorizovaných zdrojů. Účty, které mají alespoň jedno pravidlo IP definované s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. Audit, Odepřít, Zakázáno 2.0.0
Azure Event Grid domény by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Azure Event Grid témata by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Azure Key Vault by měla mít povolenou bránu firewall. Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Pak můžete nakonfigurovat konkrétní rozsahy IP adres, abyste omezili přístup k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Odepřít, Zakázáno 3.0.0
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se snižuje riziko úniku dat. Další informace o privátních odkazech najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Odepřít, Zakázáno 1.1.0
Azure SignalR Service by měl používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Další informace o privátních odkazech najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Azure Spring Cloud by měl používat injektáž sítě Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. Audit, Zakázáno, Odepřít 1.1.0
Účty služeb Cognitive Services by měly zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že účet služeb Cognitive Services není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení účtu služeb Cognitive Services. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Odepřít, Zakázáno 3.0.0
Účty služeb Cognitive Services by měly omezit síťový přístup. Přístup k síti k účtům služeb Cognitive Services by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu Služeb Cognitive Services mohli přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných IP adres internetu. Audit, Odepřít, Zakázáno 3.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup pouze z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná síťová pravidla, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o síťových pravidlech služby Container Registry najdete tady:https://aka.ms/acr/privatelinkhttps://aka.ms/acr/portal/public-network a https://aka.ms/acr/vnet. Audit, Odepřít, Zakázáno 2.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Připojení privátního koncového bodu v databázi Azure SQL by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k databázi Azure SQL bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Pro servery MariaDB by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Pro servery MySQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Účty úložiště by měly omezit síťový přístup. Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohli přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných INTERNETOVÝCH IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázání filtrování na základě IP adres brání veřejným IP adresám v přístupu k účtům úložiště. Audit, Odepřít, Zakázáno 1.0.1
Účty úložiště by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet úložiště se sníží rizika úniku dat. Další informace o privátních odkazech najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředky sestavení Image Builderu virtuálního počítače se sníží riziko úniku dat. Další informace o privátních odkazech najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Nasazení brány firewall na hraničních zařízeních podnikové sítě

ID: Vlastnictví NS-3 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall Azure Security Center zjistili, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k podsítím pomocí Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP je zřídka vyžadováno (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by se měly na virtuálních počítačích zavřít. Otevřené porty pro vzdálenou správu zveřejňují virtuální počítač na vysokou úroveň rizika před internetovými útoky. Tyto útoky se pokusí o hrubou silou přihlašovací údaje k získání přístupu správce k počítači. AuditIfNotExists, zakázáno 3.0.0

Nasazení ochrany DDOS

ID: Vlastnictví NS-5 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Měla by být povolená služba Azure DDoS Protection Úrovně Standard Standard ochrany před útoky DDoS by měl být povolený pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, zakázáno 3.0.0

Nasazení firewallu webových aplikací

ID: Vlastnictví NS-6 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro vstupní body Služby Azure Front Door by se měla povolit azure Web Application Firewall Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Web Application Firewall (WAF) by měl být povolený pro Application Gateway Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0

Zjednodušení konfigurace zabezpečení sítě

ID: Vlastnictví NS-7 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. AuditIfNotExists, zakázáno 3.0.0

Detekce a zakázání nezabezpečených služeb a protokolů

ID: Vlastnictví NS-8 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly používat nejnovější verzi protokolu TLS. Upgradujte na nejnovější verzi protokolu TLS. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Upgradujte na nejnovější verzi protokolu TLS. AuditIfNotExists, zakázáno 2.0.0

Zajištění zabezpečení DNS (Domain Name System)

ID: Vlastnictví NS-10 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure Defender pro DNS by měl být povolený. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků tím, že nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Azure Defenderu pro DNS na adrese https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenových podrobnostech pro každou oblast najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0

Správa identit

Použití centralizovaného systému identit a ověřování

ID: Vlastnictví im-1 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro SQL servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit databázových uživatelů a dalších služeb Microsoftu. AuditIfNotExists, zakázáno 1.0.0
Databázové účty Cosmos DB by měly mít zakázané místní metody ověřování. Zakázání místních metod ověřování zlepšuje zabezpečení tím, že k ověřování výhradně vyžadují databázové účty Cosmos DB identity Azure Active Directory. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Odepřít, Zakázáno 1.0.0
Clustery Service Fabric by měly k ověřování klientů používat jenom Azure Active Directory. Auditování využití ověřování klientů pouze přes Azure Active Directory ve službě Service Fabric Audit, Odepřít, Zakázáno 1.1.0

Zabezpečená a automatická správa identit aplikací

ID: Vlastnictví im-3 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v rozsahu této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Použití ovládacích prvků silného ověřování

ID: Vlastnictví IM-6 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby se zabránilo porušení zabezpečení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby se zabránilo porušení zabezpečení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby se zabránilo porušení zabezpečení účtů nebo prostředků. AuditIfNotExists, Zakázáno 1.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opustí virtuální počítač ohrožený útoky hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Zakázáno 3.0.0
Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0
Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka k vašemu předplatnému. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0
Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními ke čtení ve vašem předplatném. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0

Privilegovaný přístup

Oddělení a omezení vysoce privilegovaných/administrativních uživatelů

ID: Vlastnictví PA-1 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, Zakázáno 3.0.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 1.0.0
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Účty hostů s oprávněními vlastníka prostředků Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 1.0.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, Zakázáno 3.0.0

Vyhněte se přístupu k účtům a oprávněním.

ID: Vlastnictví PA-2 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. AuditIfNotExists, Zakázáno 3.0.0

Pravidelné kontroly a odsouhlasení přístupu uživatelů

ID: Vlastnictví pa-4 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by měly být odebrány. Zastaralé účty by se měly odebrat z vašich předplatných. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 1.0.0
Zastaralé účty by se měly odebrat z předplatného. Zastaralé účty by se měly odebrat z vašich předplatných. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat. Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 3.0.0
Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat. Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 3.0.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by měly být z vašeho předplatného odebrány, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními ke čtení prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0

Dodržujte zásadu pouze dostatečné správy (nejnižší oprávnění).

ID: Vlastnictví pa-7 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování využití vlastních pravidel RBAC Auditujte předdefinované role, jako je Vlastník, Přispívání, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.0
Access Control na základě role (RBAC) by se měly používat ve službách Kubernetes Services. Pokud chcete poskytnout podrobné filtrování akcí, které můžou uživatelé provádět, použijte Role-Based Access Control (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.2

Ochrana dat

Monitorování anomálií a hrozeb, které cílí na citlivá data

ID: Vlastnictví dp-2 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Je potřeba povolit Azure Defender for Azure SQL Databázových serverů. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu budou účtovány poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, zakázáno 1.0.0
Na počítačích by měla být povolená služba Azure Defender pro SERVERY SQL. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender for Storage by měl být povolený. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3

Šifrování citlivých dat při přenosu

ID: Vlastnictví DP-3 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, Zakázáno, Odepřít 3.0.0
App Service aplikace by měly vyžadovat jenom FTPS Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
App Service aplikace by měly používat nejnovější verzi protokolu TLS. Upgradujte na nejnovější verzi protokolu TLS. AuditIfNotExists, zakázáno 2.0.0
Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL. Azure Database for MySQL podporuje připojení Azure Database for MySQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "člověk uprostřed" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Vynucení připojení SSL by mělo být povolené pro databázové servery PostgreSQL. Azure Database for PostgreSQL podporuje připojení Azure Database for PostgreSQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "člověk uprostřed" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 3.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Upgradujte na nejnovější verzi protokolu TLS. AuditIfNotExists, zakázáno 2.0.0
Clustery Kubernetes by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 7.0.0
Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis Audit povolování pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace Audit, Odepřít, Zakázáno 1.0.0
Měl by se povolit zabezpečený přenos do účtů úložiště Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako je man-in-the-middle, odposlouchávání a únos relace Audit, Odepřít, Zakázáno 2.0.0
Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací komunikovaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu, protokolu TLS (Transport Layer Security). Tls zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. AuditIfNotExists, zakázáno 4.0.0

Povolení šifrování neaktivních uložených dat ve výchozím nastavení

ID: Azure Security Benchmark DP-4 Vlastnictví: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Proměnné účtu Automation by měly být šifrované. Při ukládání citlivých dat je důležité povolit šifrování proměnných prostředků účtu Automation. Audit, Odepřít, Zakázáno 1.1.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že jsou všechny zprávy mezi uzly šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0
Transparentní šifrování dat v databázích SQL by mělo být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm nejsou šifrované. Ignorujte toto doporučení, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison AuditIfNotExists, zakázáno 2.0.3

Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby

ID: Azure Security Benchmark DP-5 Ownership: Shared

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Účty Služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Pracovní prostory Služby Azure Machine Learning by se měly šifrovat pomocí klíče spravovaného zákazníkem. Správa šifrování neaktivních dat pracovního prostoru služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. Audit, Odepřít, Zakázáno 1.0.3
Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem. Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Odepřít, Zakázáno 2.0.0
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části obsahu vašich registrů. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2
Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení jsou neaktivní uložená data šifrovaná pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují pro splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a odpovědnost za životní cyklus klíčů, včetně obměně a správy. AuditIfNotExists, Zakázáno 1.0.4
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Šifrování neaktivních serverů PostgreSQL můžete spravovat pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení jsou neaktivní uložená data šifrovaná pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují pro splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a odpovědnost za životní cyklus klíčů, včetně obměně a správy. AuditIfNotExists, Zakázáno 1.0.4
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem poskytuje zvýšenou transparentnost a kontrolu nad ochranu transparentním šifrováním dat, vyšší zabezpečení externí službou podporovanou HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentního šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentního šifrování dat, vyšší zabezpečení pomocí externí služby založené na HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1
Účty úložiště by měly pro šifrování používat klíč spravovaný zákazníkem. Zabezpečte svůj účet blob a úložiště souborů s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, zakázáno 1.0.3

Použití procesu správy zabezpečených klíčů

ID: Vlastnictví dp-6 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
klíče Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů. Audit, Odepřít, Zakázáno 1.0.2
Key Vault tajné kódy by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2

Použití procesu správy zabezpečených certifikátů

ID: Vlastnictví dp-7 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Certifikáty by měly mít zadanou maximální dobu platnosti. Spravujte požadavky organizace na dodržování předpisů zadáním maximální doby, po kterou může být certifikát platný v rámci vašeho trezoru klíčů. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 2.2.0-preview

Zajištění zabezpečení úložiště klíčů a certifikátů

ID: Vlastnictví dp-8 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault Private Link poskytuje způsob připojení Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Audit, Odepřít, Zakázáno 1.1.0-preview
Měla by být povolená služba Azure Defender for Key Vault Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Azure Key Vault by měla mít povolenou bránu firewall. Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Pak můžete nakonfigurovat konkrétní rozsahy IP adres, abyste omezili přístup k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Odepřít, Zakázáno 3.0.0
Trezory klíčů by měly mít povolenou ochranu před vymazáním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit trezory klíčů. Ochrana před vymazáním chrání před útoky insider tím, že vynucuje povinnou dobu uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo v organizaci ani Microsoft vyprázdnit trezory klíčů. Audit, Odepřít, Zakázáno 2.0.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné vymazání trezoru klíčů může vést k trvalé ztrátě dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0
Protokoly prostředků v Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, Zakázáno 5.0.0

Správa aktiv

Použití pouze schválených služeb

ID: Vlastnictví srovnávacího testu zabezpečení Azure AM-2: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manager Pomocí nových Resource Manager Azure pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení založené na Azure Resource Manager, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podporu značek a skupin prostředků pro snadnější zabezpečení. Správa Audit, Odepřít, Zakázáno 1.0.0
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager K zajištění vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení založené na Azure Resource Manager, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější zabezpečení pomocí azure Resource Manager Správa Audit, Odepřít, Zakázáno 1.0.0

Použití pouze schválených aplikací na virtuálním počítači

ID: Vlastnictví srovnávacího testu zabezpečení Azure AM-5: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. Povolte ovládací prvky aplikací k definování seznamu známých bezpečných aplikací spuštěných na počítačích a upozorňování na spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Ke zjednodušení procesu konfigurace a údržby pravidel používá Security Center strojové učení k analýze aplikací spuštěných na každém počítači a návrh seznamu známých bezpečných aplikací. AuditIfNotExists, Zakázáno 3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování pomocí adaptivních řízení aplikací Azure Security Center. Security Center používá strojové učení k analýze spuštěných procesů na počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují v zásadách adaptivního řízení aplikací. AuditIfNotExists, Zakázáno 3.0.0

Protokolování a detekce hrozeb

Povolení možností detekce hrozeb

ID: Vlastnictví srovnávacího testu zabezpečení Azure LT-1: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defenderu pro cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu pro další analýzu. Další informace najdete v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcčlánku . AuditIfNotExists, Zakázáno 6.0.0-preview
Měla by být povolená služba Azure Defender for App Service Azure Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Azure Defender for Azure SQL Databázové servery by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender pro DNS. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Azure Defenderu pro DNS na adrese https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender for Key Vault Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolení tohoto plánu způsobí poplatky za ochranu opensourcových relačních databází. Přečtěte si o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender for Resource Manager Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a výstrahy týkající se podezřelých aktivit. AuditIfNotExists, Zakázáno 1.0.3
Na počítačích by měl být povolený Azure Defender pro sql servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender for Storage by měl být povolený. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Kubernetes Service clustery by měly mít povolený profil Defenderu Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když ve svém clusteru Azure Kubernetes Service povolíte securityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o Microsoft Defenderu pro kontejnery v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, zakázáno 2.0.0
Měl by být povolený Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním prostředí a prostředí Kubernetes s více cloudy. AuditIfNotExists, zakázáno 1.0.0
Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamknuly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané v malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (pouze Windows). AuditIfNotExists, zakázáno 2.0.0

Povolení detekce hrozeb pro správu identit a přístupu

ID: Vlastnictví srovnávacího testu zabezpečení Azure LT-2: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defenderu pro cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
Azure Defender pro App Service by měl být povolený Azure Defender pro App Service využívá škálování cloudu a viditelnost, kterou Má Azure jako poskytovatel cloudu, k monitorování běžných útoků na webovou aplikaci. AuditIfNotExists, zakázáno 1.0.3
Je potřeba povolit Azure Defender for Azure SQL Databázových serverů. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro DNS by měl být povolený. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků tím, že nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Azure Defenderu pro DNS na adrese https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenových podrobnostech pro každou oblast najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Azure Defender pro Key Vault by měl být povolený. Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu budou účtovány poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, zakázáno 1.0.0
Azure Defender pro Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenových podrobnostech pro každou oblast najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Azure Defender pro servery by měl být povolený. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by měla být povolená služba Azure Defender pro SERVERY SQL. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender for Storage by měl být povolený. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Kubernetes Service clustery by měly mít povolený profil Defenderu Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když ve svém clusteru Azure Kubernetes Service povolíte securityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o Microsoft Defenderu pro kontejnery v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, zakázáno 2.0.0
Měl by být povolený Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním prostředí a prostředí Kubernetes s více cloudy. AuditIfNotExists, zakázáno 1.0.0
Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamknuly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané v malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (pouze Windows). AuditIfNotExists, zakázáno 2.0.0

Povolení protokolování pro šetření zabezpečení

ID: Vlastnictví srovnávacího testu zabezpečení Azure LT-3: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely šetření, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Auditování na SQL Serveru by mělo být povolené. Auditování na vašem SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.0.1
Protokoly prostředků v Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasy aktivit, které se použijí pro účely šetření, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve vyhledávacích službách by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. Doporučujeme povolit protokoly, aby bylo možné znovu vytvořit záznam aktivity, když se v případě incidentu nebo ohrožení zabezpečení vyžadují šetření. AuditIfNotExists, zakázáno 2.1.0

Povolení protokolování sítě pro šetření zabezpečení

ID: Vlastnictví srovnávacího testu zabezpečení Azure LT-4: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview

Centralizovaná správa a analýza protokolů zabezpečení

ID: Azure Security Benchmark LT-5 Ownership: Shared

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Na počítačích s Linuxem Azure Arc by se mělo nainstalovat rozšíření Log Analytics. Tyto zásady auditují počítače Azure Arc s Linuxem, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-Preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc. Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-Preview
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics. Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí souvisejících se zabezpečením z počítače a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nových vytvořených virtuálních počítačů Azure. AuditIfNotExists, zakázáno 1.0.1
Počítače s Linuxem by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. Počítače nedodržují předpisy, pokud na linuxovém serveru s podporou Služby Azure Arc není nainstalovaný agent Log Analytics. AuditIfNotExists, zakázáno 1.1.0
Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center Tyto zásady auditují všechny virtuální počítače s Windows nebo Linuxem, pokud agent Log Analytics není nainstalovaný, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb. AuditIfNotExists, zakázáno 1.0.0
Agent Log Analytics by se měl nainstalovat na škálovací sady virtuálních počítačů pro monitorování Azure Security Center Security Center shromažďuje data z vašich virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. AuditIfNotExists, zakázáno 1.0.0
Počítače s Windows by měly mít nainstalovaného agenta Log Analytics ve službě Azure Arc. Počítače nedodržují předpisy, pokud na windows serveru s podporou Služby Azure Arc není nainstalovaný agent Log Analytics. AuditIfNotExists, zakázáno 2.0.0

Konfigurace uchovávání úložiště protokolů

ID: Vlastnictví srovnávacího testu zabezpečení Azure LT-6: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Servery SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování vašeho SQL Server na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování zákonných standardů. AuditIfNotExists, zakázáno 3.0.0

Reakce na incidenty

Příprava – nastavení oznámení incidentu

ID: Vlastnictví prostředí IR-2 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Email oznámení pro výstrahy s vysokou závažností by mělo být povolené. Aby se zajistilo, že relevantní lidé ve vaší organizaci budou upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.0.1
Email oznámení pro vlastníka předplatného pro výstrahy s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky předplatného e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením. Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci dostávali oznámení o potenciálním porušení zabezpečení v některém z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah

ID: Vlastnictví prostředí IR-3 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure Defender pro App Service by měl být povolený Azure Defender pro App Service využívá škálování cloudu a viditelnost, kterou Má Azure jako poskytovatel cloudu, k monitorování běžných útoků na webovou aplikaci. AuditIfNotExists, zakázáno 1.0.3
Je potřeba povolit Azure Defender for Azure SQL Databázových serverů. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro DNS by měl být povolený. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků tím, že nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Azure Defenderu pro DNS na adrese https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenových podrobnostech pro každou oblast najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Azure Defender pro Key Vault by měl být povolený. Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolení tohoto plánu způsobí poplatky za ochranu opensourcových relačních databází. Přečtěte si o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender for Resource Manager Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a výstrahy týkající se podezřelých aktivit. AuditIfNotExists, Zakázáno 1.0.3
Na počítačích by měl být povolený Azure Defender pro sql servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, Zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender for Storage. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridní a multicloudové prostředí Kubernetes. AuditIfNotExists, Zakázáno 1.0.0

Detekce a analýza – vyšetřování incidentu

ID: Vlastnictví prostředí IR-4 srovnávacího testu zabezpečení Azure: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné, aby se skupina prostředků sledovacího nástroje pro sledování sítě vytvořila v každé oblasti, kde je virtuální síť přítomna. Výstraha je povolená, pokud skupina prostředků watcheru sítě není v konkrétní oblasti dostupná. AuditIfNotExists, Zakázáno 3.0.0

Detekce a analýza – stanovení priority incidentů

ID: Azure Security Benchmark IR-5 Vlastnictví: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Měla by být povolená služba Azure Defender for App Service Azure Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Azure Defender for Azure SQL Databázové servery by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender pro DNS. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Azure Defenderu pro DNS na adrese https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender for Key Vault Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolení tohoto plánu způsobí poplatky za ochranu opensourcových relačních databází. Přečtěte si o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender for Resource Manager Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a výstrahy týkající se podezřelých aktivit. AuditIfNotExists, Zakázáno 1.0.3
Na počítačích by měl být povolený Azure Defender pro sql servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, Zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender for Storage. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridní a multicloudové prostředí Kubernetes. AuditIfNotExists, Zakázáno 1.0.0

Stav a správa ohrožení zabezpečení

Auditování a vynucení zabezpečených konfigurací

ID: Vlastnictví srovnávacího testu zabezpečení Azure PV-2: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným a konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. AuditIfNotExists, Zakázáno 1.0.0-preview
[Preview]: Clustery Kubernetes by měly vrátná nasazení ohrožených imagí. Chraňte clustery Kubernetes a úlohy kontejnerů před potenciálními hrozbami tím, že omezíte nasazení imagí kontejnerů s ohroženými softwarovými komponentami. K identifikaci a opravám ohrožení zabezpečení před nasazením použijte nástroj Azure Defender CI/CD (https://aka.ms/AzureDefenderCICDscanning) a Azure Defender pro registry kontejnerů (https://aka.ms/AzureDefenderForContainerRegistries). Předpoklad vyhodnocení: Doplněk zásad a profil Azure Defenderu Platí jenom pro zákazníky ve verzi Private Preview. Audit, Odepřít, Zakázáno 2.0.0-preview
App Service aplikace by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 2.0.0
App Service aplikace by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci App Service. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 2.0.0
App Service aplikace by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom požadovanými doménami. AuditIfNotExists, Zakázáno 2.0.0
Azure Policy Doplněk pro službu Kubernetes (AKS) by se měl nainstalovat a povolit ve vašich clusterech. doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje gatekeeper v3, webhook kontroleru přístupu pro agenta OPA (Open Policy Agent), aby v clusterech použil vynucení a ochranu ve velkém měřítku a ochranu centralizovaným a konzistentním způsobem. Audit, zakázáno 1.0.2
Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti s platnými certifikáty. Audit, zakázáno 2.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom požadovanými doménami. AuditIfNotExists, Zakázáno 2.0.0
Limity prostředků clusteru Kubernetes by neměly překročit zadané limity Vynucujte limity prostředků procesoru kontejneru a paměti, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 8.0.0
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele Zablokujte kontejnery podů ze sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení vašich prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 4.0.1
Kontejnery clusteru Kubernetes by měly používat jenom povolené profily AppArmoru. Kontejnery by měly používat jenom povolené profily AppArmor v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů, které mají zlepšit zabezpečení prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. Omezte možnosti pro omezení prostoru útoku kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení vašich prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.1
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. Pomocí imagí z důvěryhodných registrů můžete snížit riziko ohrožení zabezpečení clusteru Kubernetes na neznámé chyby zabezpečení, problémy se zabezpečením a škodlivé image. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 8.0.0
Kontejnery clusteru Kubernetes by měly běžet s kořenovým systémem souborů jen pro čtení. Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení, které chrání před změnami za běhu pomocí škodlivých binárních souborů, které se přidávají do PATH v clusteru Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.0
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty hostitele. Omezte připojení svazku HostPath podu k povoleným cestám hostitele v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů, které mají zlepšit zabezpečení prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.1
Pody a kontejnery clusteru Kubernetes by měly běžet jenom se schválenými ID uživatelů a skupin. Řízení ID uživatele, primární skupiny, doplňkové skupiny a skupin souborů, které pody a kontejnery můžou používat ke spuštění v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů, které mají zlepšit zabezpečení prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.2
Pody clusteru Kubernetes by měly používat jenom schválenou síť hostitele a rozsah portů. Omezte přístup podů k hostitelské síti a povolenému rozsahu portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, což je určené ke zlepšení zabezpečení vašich prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 5.0.0
Služby clusteru Kubernetes by měly naslouchat jenom na povolených portech. Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 7.0.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, který má zlepšit zabezpečení vašich prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 8.0.0
Clustery Kubernetes by měly zakázat automatické připojení přihlašovacích údajů rozhraní API. Zakažte přihlašovací údaje rozhraní API pro automatické připojení, abyste zabránili potenciálně ohroženým prostředkům podu pro spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 3.0.1
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru Nepovolujte spouštění kontejnerů s eskalací oprávnění ke kořenovému adresáři v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, což je určené ke zlepšení zabezpečení prostředí Kubernetes. Tato zásada je obecně dostupná pro Kubernetes Service (AKS) a preview pro Kubernetes s podporou AKS a Azure Arc. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 6.0.1
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN Pokud chcete omezit prostor útoku kontejnerů, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 4.0.0
Clustery Kubernetes by neměly používat výchozí obor názvů. Znemožnit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace naleznete v tématu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázat, Zakázáno 3.0.1

Auditování a vynucení zabezpečených konfigurací výpočetních prostředků

ID: Vlastnictví srovnávacího testu zabezpečení Azure PV-4: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem. Nainstalujte rozšíření Ověření hosta na podporované virtuální počítače s Linuxem, aby Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění testována prostřednictvím vzdáleného ověření identity. Toto hodnocení platí jenom pro virtuální počítače s Linuxem s povoleným důvěryhodným spuštěním. AuditIfNotExists, Zakázáno 5.0.0-Preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Linuxem. Nainstalujte rozšíření Ověření hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění testována prostřednictvím vzdáleného ověření identity. Toto posouzení se vztahuje pouze na škálovací sady virtuálních počítačů s Linuxem s povoleným důvěryhodným spuštěním. AuditIfNotExists, Zakázáno 4.0.0-Preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. Nainstalujte rozšíření ověření identity hosta na podporované virtuální počítače, aby Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění testována prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. AuditIfNotExists, Zakázáno 3.0.0-preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. Nainstalujte rozšíření ověření identity hosta na podporované škálovací sady virtuálních počítačů, aby Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění testována prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady virtuálních počítačů s povoleným důvěryhodným spuštěním. AuditIfNotExists, Zakázáno 2.0.0-preview
[Preview]: Zabezpečené spouštění by mělo být povolené na podporovaných virtuálních počítačích s Windows. Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, aby se zmírňovaly škodlivé a neoprávněné změny ve spouštěcím řetězu. Po povolení se budou moct spouštět pouze důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí jenom pro virtuální počítače s Windows s povoleným důvěryhodným spuštěním. Audit, zakázáno 3.0.0-preview
[Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení se virtuální počítač vTPM dá použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. Audit, zakázáno 2.0.0-preview
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady hosta k dispozici, například Ochrana Zneužití systému Windows by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, Zakázáno 1.0.2
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. Vyžaduje, aby se požadavky nasadily do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, Zakázáno 2.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v rozsahu této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, Zakázáno 1.0.1
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Vyžaduje, aby se požadavky nasadily do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, Zakázáno 2.0.0

Provádění posouzení ohrožení zabezpečení

ID: Vlastnictví srovnávacího testu zabezpečení Azure PV-5: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače a zjišťuje, jestli běží podporované řešení posouzení ohrožení zabezpečení. Klíčovou součástí každého kybernetického rizika a bezpečnostního programu je identifikace a analýza ohrožení zabezpečení. cenová úroveň standardu Azure Security Center zahrnuje kontrolu ohrožení zabezpečení virtuálních počítačů bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, Zakázáno 3.0.0
Posouzení ohrožení zabezpečení by mělo být povolené na SQL Managed Instance Auditujte každou SQL Managed Instance, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, Zakázáno 1.0.1
Posouzení ohrožení zabezpečení by mělo být na serverech SQL povolené. Audit Azure SQL servery, které nemají povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, Zakázáno 2.0.0

Rychlé a automatické nápravy ohrožení zabezpečení

ID: Vlastnictví srovnávacího testu zabezpečení Azure PV-6: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. Aby se zajistilo automatické vyhodnocení chybějících aktualizací systému každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Přečtěte si další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Odepřít, Zakázáno 1.0.0-preview
[Preview]: Aktualizace systému by se měly nainstalovat na vaše počítače (využívající Update Center) V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyřešené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. AuditIfNotExists, Zakázáno 1.0.0-preview
App Service aplikace, které používají Javu, by měly používat nejnovější verzi Javy. Novější verze se pravidelně vydávají pro software v Javě buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Java pro webové aplikace, doporučujeme využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na aplikace pro Linux. AuditIfNotExists, Zakázáno 3.0.0
App Service aplikace, které používají PHP, by měly používat nejnovější verzi PHP. Novější verze se pravidelně vydávají pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi PHP pro aplikace App Service, doporučujeme využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na aplikace pro Linux. AuditIfNotExists, Zakázáno 3.0.0
App Service aplikace, které používají Python, by měly používat nejnovější verzi Pythonu. Novější verze se pravidelně vydávají pro software Pythonu buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace App Service, doporučujeme využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada platí jenom pro aplikace pro Linux. AuditIfNotExists, zakázáno 4.0.0
Vyřešené bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení v registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. AuditIfNotExists, zakázáno 2.0.1
Aplikace funkcí, které používají Javu, by měly používat nejnovější verzi Javy. Pravidelně se vydávají novější verze pro software Java buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada se v současné době vztahuje jenom na aplikace pro Linux. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí, které používají Python, by měly používat nejnovější verzi Pythonu. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. Tato zásada platí jenom pro aplikace pro Linux, protože Python není v aplikacích pro Windows podporovaný. AuditIfNotExists, zakázáno 4.0.0
Řešení spuštěných imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení image kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění jednotlivých imagí. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. AuditIfNotExists, zakázáno 1.0.1
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení. Monitorování výsledků kontroly posouzení ohrožení zabezpečení a doporučení pro nápravu ohrožení zabezpečení databáze AuditIfNotExists, zakázáno 4.0.0
Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených chyb zabezpečení může výrazně zlepšit stav zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.0
Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. Zkontrolujte, jestli chybí aktualizace zabezpečení systému a důležité aktualizace, které by se měly nainstalovat, aby se zajistilo zabezpečení škálovacích sad virtuálních počítačů s Windows a Linuxem. AuditIfNotExists, zakázáno 3.0.0
Na počítače by se měly nainstalovat aktualizace systému Chybějící aktualizace systému zabezpečení na vašich serverech budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 4.0.0
Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. Auditovat ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazovat je jako doporučení v Azure Security Center. AuditIfNotExists, zakázáno 3.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. Servery, které nevyhovují nakonfigurovaným směrnému plánu, budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. AuditIfNotExists, zakázáno 3.0.0

Zabezpečení koncového bodu

Použití detekce a odezvy koncových bodů (EDR)

ID: Vlastnictví srovnávacího testu zabezpečení Azure ES-1: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure Defender pro servery by měl být povolený. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3

Použití moderního antimalwarového softwaru

ID: Vlastnictví srovnávacího testu zabezpečení Azure ES-2: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Na počítačích by se měly vyřešit problémy se stavem služby Endpoint Protection. Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center jsou zde zdokumentovaná podporovaná řešení ochrany koncových bodů – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zde zdokumentované - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, zakázáno 1.0.0
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. AuditIfNotExists, zakázáno 1.0.0
Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Monitorování chybějící služby Endpoint Protection v Azure Security Center Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Windows Defender By měla být na vašich počítačích povolená ochrana Exploit Guard. Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamknuly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané v malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (pouze Windows). AuditIfNotExists, zakázáno 2.0.0

Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

ID: Vlastnictví srovnávacího testu zabezpečení Azure ES-3: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Na počítačích by se měly vyřešit problémy se stavem služby Endpoint Protection. Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center jsou zde zdokumentovaná podporovaná řešení ochrany koncových bodů – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zde zdokumentované - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, zakázáno 1.0.0

Zálohování a obnovy

Zajištění pravidelných automatizovaných záloh

ID: Vlastnictví srovnávacího testu zabezpečení Azure BR-1: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure Backup by měly být povolené pro Virtual Machines Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

Ochrana dat zálohování a obnovení

ID: Vlastnictví srovnávacího testu zabezpečení Azure BR-2: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure Backup by měly být povolené pro Virtual Machines Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

Zabezpečení DevOps

Vynucování zabezpečení úloh v průběhu životního cyklu DevOps

ID: Vlastnictví srovnávacího testu zabezpečení Azure DS-6: Sdílené

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Vyřešené bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení v registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. AuditIfNotExists, zakázáno 2.0.1
Řešení spuštěných imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení image kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění jednotlivých imagí. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. AuditIfNotExists, zakázáno 1.0.1
Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. Auditovat ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazovat je jako doporučení v Azure Security Center. AuditIfNotExists, zakázáno 3.0.0

Další kroky

Další články o Azure Policy: