Řízení dodržování právních předpisů azure Policy pro službu Azure SQL Database a SQL Managed Instance
Platí pro:
Azure SQL Database Azure SQL Managed Instance
Dodržování právních předpisů v Azure Policy poskytuje vytvořené a spravované definice iniciativ Microsoftu, označované jako předdefinované, pro domény dodržování předpisů a kontrolní mechanismy zabezpečení související s různými standardy dodržování předpisů. Tato stránka obsahuje seznam domén dodržování předpisů a kontrolních mechanismů zabezpečení pro Azure SQL Database a službu SQL Managed Instance. Předdefinované prvky pro ovládací prvek zabezpečení můžete přiřadit jednotlivě, aby vaše prostředky Azure vyhovovaly konkrétnímu standardu.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zásad zobrazte zdroj v úložišti Azure Policy na GitHubu.
Důležité
Každý ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit soulad s kontrolou. Často ale není mezi ovládacím prvek a jednou nebo více zásadami shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné zásady. Tím se nezajistí, že plně vyhovujete všem požadavkům ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi dodržování právních předpisů azure Policy pro tyto standardy dodržování předpisů se můžou v průběhu času měnit.
Australian Government ISM PROTECTED
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – Australian Government ISM PROTECTED. Další informace o tomto standardu dodržování předpisů naleznete v tématu Australian Government ISM PROTECTED.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Pokyny pro správu systému – opravy systému | 940 | Kdy opravit ohrožení zabezpečení – 940 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 940 | Kdy opravit ohrožení zabezpečení – 940 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 940 | Kdy opravit ohrožení zabezpečení – 940 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro správu systému – opravy systému | 1144 | Kdy opravit ohrožení zabezpečení – 1144 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 1144 | Kdy opravit ohrožení zabezpečení – 1144 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 1144 | Kdy opravit ohrožení zabezpečení – 1144 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro databázové systémy – software systému pro správu databází | 1260 | Účty správce databáze – 1260 | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Pokyny pro databázové systémy – software systému pro správu databází | 1261 | Účty správce databáze – 1261 | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Pokyny pro databázové systémy – software systému pro správu databází | 1262 | Účty správce databáze – 1262 | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Pokyny pro databázové systémy – software systému pro správu databází | 1263 | Účty správce databáze – 1263 | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Pokyny pro databázové systémy – software systému pro správu databází | 1264 | Účty správce databáze – 1264 | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Pokyny pro databázové systémy – Databázové servery | 1425 | Ochrana obsahu databázového serveru – 1425 | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Pokyny pro správu systému – opravy systému | 1472 | Kdy opravit ohrožení zabezpečení – 1472 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 1472 | Kdy opravit ohrožení zabezpečení – 1472 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 1472 | Kdy opravit ohrožení zabezpečení – 1472 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro správu systému – opravy systému | 1494 | Kdy opravit ohrožení zabezpečení – 1494 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 1494 | Kdy opravit ohrožení zabezpečení – 1494 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 1494 | Kdy opravit ohrožení zabezpečení – 1494 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro správu systému – opravy systému | 1495 | Kdy opravit ohrožení zabezpečení – 1495 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 1495 | Kdy opravit ohrožení zabezpečení – 1495 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 1495 | Kdy opravit ohrožení zabezpečení – 1495 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro správu systému – opravy systému | 1496 | Kdy opravit ohrožení zabezpečení – 1496 | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Pokyny pro správu systému – opravy systému | 1496 | Kdy opravit ohrožení zabezpečení – 1496 | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Pokyny pro správu systému – opravy systému | 1496 | Kdy opravit ohrožení zabezpečení – 1496 | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Pokyny pro monitorování systému – Protokolování a auditování událostí | 1537 | Události, které se mají protokolovat – 1537 | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Pokyny pro monitorování systému – Protokolování a auditování událostí | 1537 | Události, které se mají protokolovat – 1537 | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
Canada Federal PBMM
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – Canada Federal PBMM. Další informace o tomto standardu dodržování předpisů najdete v tématu Canada Federal PBMM.
Srovnávací test CIS Microsoft Azure Foundations 1.1.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Srovnávací test CIS Microsoft Azure Foundations 1.1.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.14 | Ujistěte se, že výchozí nastavení zásad ASC "Monitorování auditování SQL" není zakázané. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 2 Security Center | 2.15 | Ujistěte se, že výchozí nastavení zásad ASC "Monitorování šifrování SQL" není zakázané. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| 4 Databázové služby | 4.1 | Ujistěte se, že je auditování nastavené na Zapnuto. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 4 Databázové služby | 4.10 | Ujistěte se, že ochrana transparentním šifrováním dat SQL serveru je šifrovaná pomocí BYOK (použití vlastního klíče). | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| 4 Databázové služby | 4.10 | Ujistěte se, že ochrana transparentním šifrováním dat SQL serveru je šifrovaná pomocí BYOK (použití vlastního klíče). | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| 4 Databázové služby | 4.2 | Ujistěte se, že je správně nastavená hodnota AuditActionGroups v zásadách auditování pro SQL Server. | Nastavení auditování SQL by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | 1.0.0 |
| 4 Databázové služby | 4.3 | Ujistěte se, že uchovávání auditování je větší než 90 dnů. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| 4 Databázové služby | 4.4 | Ujistěte se, že je na SQL Serveru nastavená možnost Advanced Data Security na zapnuto. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| 4 Databázové služby | 4.4 | Ujistěte se, že je na SQL Serveru nastavená možnost Advanced Data Security na zapnuto. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| 4 Databázové služby | 4.8 | Ujistěte se, že je nakonfigurovaný správce Azure Active Directory. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| 4 Databázové služby | 4,9 | Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
Srovnávací test CIS Microsoft Azure Foundations 1.3.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů pro Azure Policy – srovnávací test CIS Microsoft Azure Foundations 1.3.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 4 Databázové služby | 4.1.1 | Ujistěte se, že je auditování nastavené na Zapnuto. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 4 Databázové služby | 4.1.2 | Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| 4 Databázové služby | 4.1.3 | Ujistěte se, že uchovávání auditování je větší než 90 dnů. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| 4 Databázové služby | 4.2.1 | Ujistěte se, že je rozšířená ochrana před internetovými útoky (ATP) na SQL Serveru nastavená na Povoleno. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| 4 Databázové služby | 4.2.1 | Ujistěte se, že je rozšířená ochrana před internetovými útoky (ATP) na SQL Serveru nastavená na Povoleno. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| 4 Databázové služby | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 4 Databázové služby | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| 4 Databázové služby | 4.4 | Ujistěte se, že je nakonfigurovaný správce Azure Active Directory. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| 4 Databázové služby | 4.5 | Ujistěte se, že ochrana transparentním šifrováním dat SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| 4 Databázové služby | 4.5 | Ujistěte se, že ochrana transparentním šifrováním dat SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
Srovnávací test CIS Microsoft Azure Foundations 1.4.0
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro CIS verze 1.4.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 4 Databázové služby | 4.1.1 | Ujistěte se, že je auditování nastavené na Zapnuto. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 4 Databázové služby | 4.1.2 | Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| 4 Databázové služby | 4.1.3 | Ujistěte se, že uchovávání auditování je větší než 90 dnů. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| 4 Databázové služby | 4.2.1 | Ujistěte se, že je rozšířená ochrana před internetovými útoky (ATP) na SQL Serveru nastavená na Povoleno. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| 4 Databázové služby | 4.2.1 | Ujistěte se, že je rozšířená ochrana před internetovými útoky (ATP) na SQL Serveru nastavená na Povoleno. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| 4 Databázové služby | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 4 Databázové služby | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| 4 Databázové služby | 4.5 | Ujistěte se, že je nakonfigurovaný správce Azure Active Directory. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| 4 Databázové služby | 4.6 | Ujistěte se, že ochrana transparentním šifrováním dat SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| 4 Databázové služby | 4.6 | Ujistěte se, že ochrana transparentním šifrováním dat SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
Srovnávací test CIS Microsoft Azure Foundations 2.0.0
Pokud chcete zkontrolovat, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro CIS v2.0.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 4.1 | 4.1.1 | Ujistěte se, že je auditování nastavené na Zapnuto. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 4.1 | 4.1.2 | Ujistěte se, že žádné služby Azure SQL Database nepovolují příchozí přenos dat z 0.0.0.0/0 (JAKÁKOLI IP adresa). | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| 4.1 | 4.1.3 | Ujistěte se, že ochrana transparentní šifrování dat (TDE) SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| 4.1 | 4.1.3 | Ujistěte se, že ochrana transparentní šifrování dat (TDE) SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| 4.1 | 4.1.4 | Ujistěte se, že je pro SQL Servery nakonfigurovaný správce Azure Active Directory. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| 4.1 | 4.1.5 | Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| 4.1 | 4.1.6 | Ujistěte se, že uchovávání auditování je větší než 90 dnů. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| 4.2 | 4.2.1 | Ujistěte se, že je pro důležité SQL servery nastavená možnost Zapnuto v programu Microsoft Defender for SQL. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| 4.2 | 4.2.1 | Ujistěte se, že je pro důležité SQL servery nastavená možnost Zapnuto v programu Microsoft Defender for SQL. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| 4.2 | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 4.2 | 4.2.2 | Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA). | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| 4.2 | 4.2.3 | Ujistěte se, že nastavení posouzení ohrožení zabezpečení (VA) pro každý SQL server je nastavené na zapnuté pravidelné opakované kontroly. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 4.2 | 4.2.4 | Ujistěte se, že je pro SQL Server nakonfigurované nastavení Posouzení ohrožení zabezpečení (VA) Odeslat sestavy kontroly. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| 4.2 | 4.2.5 | Ujistěte se, že je pro každý SQL Server nastavené nastavení Posouzení ohrožení zabezpečení (VA) Odesílat e-mailová oznámení také správcům a vlastníkům předplatného. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| 4.2 | 4.2.5 | Ujistěte se, že je pro každý SQL Server nastavené nastavení Posouzení ohrožení zabezpečení (VA) Odesílat e-mailová oznámení také správcům a vlastníkům předplatného. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
CMMC level 3
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – CMMC úrovně 3. Další informace o této normě dodržování předpisů najdete v tématu Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Řízení přístupu | AC.2.016 | Řízení toku CUI v souladu se schválenými autorizací. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Posouzení zabezpečení | CA.2.158 | Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Posouzení zabezpečení | CA.2.158 | Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Posouzení zabezpečení | CA.2.158 | Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Posouzení zabezpečení | CA.3.161 | Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Posouzení zabezpečení | CA.3.161 | Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Posouzení zabezpečení | CA.3.161 | Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Správa konfigurace | CM.2.064 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Správa konfigurace | CM.2.064 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Obnovovací | RE.2.137 | Pravidelně provádí a testuje zálohování dat. | Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | 2.0.0 |
| Obnovovací | RE.3.139 | Pravidelné provádění kompletních, komplexních a odolných záloh dat podle organizační definice. | Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | 2.0.0 |
| Hodnocení rizika | RM.2.141 | Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | RM.2.141 | Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | RM.2.141 | Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Hodnocení rizika | RM.2.141 | Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | RM.2.142 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | RM.2.142 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | RM.2.142 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Hodnocení rizika | RM.2.142 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| System and Communications Protection | SC.3.177 | Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| System and Communications Protection | SC.3.177 | Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| System and Communications Protection | SC.3.177 | Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| System and Communications Protection | SC.3.181 | Oddělte uživatelské funkce od funkcí správy systému. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| System and Communications Protection | SC.3.191 | Ochrana důvěrnosti CUI v klidovém stavu. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| System and Communications Protection | SC.3.191 | Ochrana důvěrnosti CUI v klidovém stavu. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| System and Communications Protection | SC.3.191 | Ochrana důvěrnosti CUI v klidovém stavu. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Integrita systému a informací | SI.1.210 | Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Integrita systému a informací | SI.2.216 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Integrita systému a informací | SI.2.216 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Integrita systému a informací | SI.2.217 | Identifikace neoprávněného použití organizačních systémů | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Integrita systému a informací | SI.2.217 | Identifikace neoprávněného použití organizačních systémů | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
FedRAMP vysoké úrovně
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High.
FedRAMP Moderate
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – FedRAMP Moderate. Další informace o této normě dodržování předpisů najdete v tématu FedRAMP Moderate.
HIPAA HITRUST 9.2
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – HIPAA HITRUST 9.2. Další informace o této normě dodržování předpisů naleznete v tématu HIPAA HITRUST 9.2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 03 Portable Media Security | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 Zpracování médií | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| 03 Portable Media Security | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Zpracování médií | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| 03 Portable Media Security | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Zpracování médií | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| 07 – Správa ohrožení zabezpečení | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Technical Vulnerability Management | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 07 – Správa ohrožení zabezpečení | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Technical Vulnerability Management | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| 07 – Správa ohrožení zabezpečení | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Technical Vulnerability Management | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| 08 Ochrana sítě | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Řízení přístupu k síti | SQL Server by měl používat koncový bod služby virtuální sítě. | 1.0.0 |
| 08 Ochrana sítě | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Řízení přístupu k síti | SQL Server by měl používat koncový bod služby virtuální sítě. | 1.0.0 |
| 08 Ochrana sítě | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Správa zabezpečení sítě | SQL Server by měl používat koncový bod služby virtuální sítě. | 1.0.0 |
| 08 Ochrana sítě | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Řízení přístupu k síti | SQL Server by měl používat koncový bod služby virtuální sítě. | 1.0.0 |
| 12 Protokolování auditu a monitorování | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Monitorování | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Informace Zálohování | Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | 2.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Informace Zálohování | Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | 2.0.0 |
IRS 1075 Září 2016
Informace o tom, jak se dostupné integrované služby Azure Policy mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – IRS 1075 září 2016. Další informace o této normě dodržování předpisů najdete v tématu IRS 1075 Září 2016.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | 9.3.1.2 | Správa účtů (AC-2) | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Hodnocení rizika | 9.3.14.3 | Kontrola ohrožení zabezpečení (RA-5) | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | 9.3.14.3 | Kontrola ohrožení zabezpečení (RA-5) | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | 9.3.14.3 | Kontrola ohrožení zabezpečení (RA-5) | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| System and Communications Protection | 9.3.16.15 | Ochrana neaktivních uložených informací (SC-28) | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| System and Communications Protection | 9.3.16.15 | Ochrana neaktivních uložených informací (SC-28) | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| System and Communications Protection | 9.3.16.15 | Ochrana neaktivních uložených informací (SC-28) | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Integrita systému a informací | 9.3.17.2 | Náprava chyb (SI-2) | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Integrita systému a informací | 9.3.17.4 | Monitorování informačního systému (SI-4) | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Integrita systému a informací | 9.3.17.4 | Monitorování informačního systému (SI-4) | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Povědomí a školení | 9.3.3.11 | Generování auditu (AU-12) | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Povědomí a školení | 9.3.3.11 | Generování auditu (AU-12) | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Povědomí a školení | 9.3.3.11 | Generování auditu (AU-12) | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Povědomí a školení | 9.3.3.5 | Reakce na selhání zpracování auditu (AU-5) | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Povědomí a školení | 9.3.3.5 | Reakce na selhání zpracování auditu (AU-5) | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Povědomí a školení | 9.3.3.5 | Reakce na selhání zpracování auditu (AU-5) | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
ISO 27001:2013
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – ISO 27001:2013. Další informace o této normě dodržování předpisů naleznete v tématu ISO 27001:2013.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Kryptografie | 10.1.1 | Zásady týkající se používání kryptografických ovládacích prvků | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Zabezpečení operací | 12.4.1 | Protokolování událostí | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Zabezpečení operací | 12.4.3 | Protokoly správců a operátorů | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Zabezpečení operací | 12.4.4 | Synchronizace hodin | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Zabezpečení operací | 12.6.1 | Správa technických ohrožení zabezpečení | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Správa aktiv | 8.2.1 | Klasifikace informací | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Řízení přístupu | 9.2.3 | Správa privilegovaných přístupových práv | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
Důvěrné zásady standardních hodnot suverenity pro Microsoft Cloud for Sovereignty
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů azure Policy pro důvěrné zásady standardních hodnot suverenity MCfS. Další informace o tomto standardu dodržování předpisů najdete v portfoliu zásad suverenity společnosti Microsoft Cloud.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| SO.3 – Klíče spravované zákazníkem | SO.3 | Produkty Azure musí být nakonfigurované tak, aby používaly klíče spravované zákazníkem, pokud je to možné. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| SO.3 – Klíče spravované zákazníkem | SO.3 | Produkty Azure musí být nakonfigurované tak, aby používaly klíče spravované zákazníkem, pokud je to možné. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
Srovnávací test zabezpečení cloudu Microsoftu
Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Pokud chcete zjistit, jak se tato služba kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na soubory mapování srovnávacích testů zabezpečení Azure.
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů azure Policy – srovnávací test zabezpečení cloudu Microsoftu.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Zabezpečení sítě | NS-2 | Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Spravované instance Azure SQL by měly zakázat přístup k veřejné síti. | 1.0.0 |
| Zabezpečení sítě | NS-2 | Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Zabezpečení sítě | NS-2 | Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Správa identit | IM-1 | Použití centralizovaného systému identit a ověřování | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Správa identit | IM-1 | Použití centralizovaného systému identit a ověřování | Azure SQL Database by měl mít povolené ověřování pouze Microsoft Entra-only | 1.0.0 |
| Správa identit | IM-1 | Použití centralizovaného systému identit a ověřování | Azure SQL Database by při vytváření mělo mít povolené ověřování Microsoft Entra-only. | 1.2.0 |
| Správa identit | IM-1 | Použití centralizovaného systému identit a ověřování | Spravovaná instance Azure SQL by měla mít povolené ověřování microsoft Entra-only | 1.0.0 |
| Správa identit | IM-1 | Použití centralizovaného systému identit a ověřování | Při vytváření by měly mít spravované instance Azure SQL povolené ověřování Microsoft Entra-only. | 1.2.0 |
| Správa identit | IM-4 | Ověřování serveru a služeb | Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | 2.0.0 |
| Ochrana dat | DP-2 | Monitorování anomálií a hrozeb, které cílí na citlivá data | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Ochrana dat | DP-3 | Šifrování citlivých dat během přenosu | Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | 2.0.0 |
| Ochrana dat | DP-4 | Povolení šifrování neaktivních uložených dat ve výchozím nastavení | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Ochrana dat | DP-5 | Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| Ochrana dat | DP-5 | Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| Protokolování a detekce hrozeb | LT-1 | Povolení možností detekce hrozeb | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Protokolování a detekce hrozeb | LT-1 | Povolení možností detekce hrozeb | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Protokolování a detekce hrozeb | LT-2 | Povolení detekce hrozeb pro správu identit a přístupu | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Protokolování a detekce hrozeb | LT-2 | Povolení detekce hrozeb pro správu identit a přístupu | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Protokolování a detekce hrozeb | LT-3 | Povolení protokolování pro šetření zabezpečení | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Protokolování a detekce hrozeb | LT-6 | Konfigurace uchovávání úložiště protokolů | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| Reakce na incident | IR-3 | Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Reakce na incident | IR-3 | Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Správa stavu a ohrožení zabezpečení | PV-5 | Provádění posouzení ohrožení zabezpečení | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Správa stavu a ohrožení zabezpečení | PV-5 | Provádění posouzení ohrožení zabezpečení | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Správa stavu a ohrožení zabezpečení | PV-6 | Rychlá a automatická náprava ohrožení zabezpečení | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Reakce na incident | AIR-5 | Detekce a analýza – stanovení priority incidentů | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Reakce na incident | AIR-5 | Detekce a analýza – stanovení priority incidentů | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
NIST SP 800-171 R2
Informace o tom, jak se dostupné integrované služby Azure Policy mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800–171 R2. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Řízení přístupu | 3.1.13 | Používejte kryptografické mechanismy k ochraně důvěrnosti relací vzdáleného přístupu. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Řízení přístupu | 3.1.14 | Směrování vzdáleného přístupu prostřednictvím spravovaných přístupových kontrolních bodů | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Řízení přístupu | 3.1.2 | Omezte systémový přístup k typům transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| System and Communications Protection | 3.13.10 | Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| System and Communications Protection | 3.13.10 | Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| System and Communications Protection | 3.13.16 | Ochrana důvěrnosti CUI v klidovém stavu. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Integrita systému a informací | 3.14.1 | Umožňuje včas identifikovat, hlásit a opravit chyby systému. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| Audit a odpovědnost | 3.3.4 | Výstraha v případě selhání procesu protokolování auditu | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | 3.3.4 | Výstraha v případě selhání procesu protokolování auditu | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Audit a odpovědnost | 3.3.5 | Korelujte procesy kontroly, analýzy a vykazování záznamů auditu za účelem vyšetřování a reakce na informace o protiprávních, neoprávněných, podezřelých nebo neobvyklých aktivitách. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Audit a odpovědnost | 3.3.5 | Korelujte procesy kontroly, analýzy a vykazování záznamů auditu za účelem vyšetřování a reakce na informace o protiprávních, neoprávněných, podezřelých nebo neobvyklých aktivitách. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Identifikace a ověřování | 3.5.1 | Identifikujte systémové uživatele, procesy jménem uživatelů a zařízení. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Identifikace a ověřování | 3.5.5 | Zabrání opakovanému použití identifikátorů pro definované období. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Identifikace a ověřování | 3.5.6 | Zakažte identifikátory po definovaném období nečinnosti. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
NIST SP 800-53 Rev. 4
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 4. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 5. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 5.
Motiv NL BIO Cloud
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy v tématu NL BIO Cloud. Další informace o této normě dodržování předpisů najdete v tématu Zabezpečení zabezpečení informací podle směrného plánu – digitální státní správa (digitaleoverheid.nl).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| C.04.3 Technické správa ohrožení zabezpečení - Časové osy | C.04.3 | Pokud je pravděpodobnost zneužití a očekávané poškození obě vysoké, opravy se nainstalují nejpozději do týdne. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| C.04.6 Technické správa ohrožení zabezpečení - Časové osy | C.04.6 | Technické nedostatky je možné napravit včas prováděním správy oprav. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| C.04.8 Technical správa ohrožení zabezpečení – vyhodnoceno | C.04.8 | Sestavy hodnocení obsahují návrhy na zlepšení a komunikují se správci/vlastníky. | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Ochrana dat U.05.1 – Kryptografické míry | U.05.1 | Přenos dat je zabezpečený pomocí kryptografie, kde je správa klíčů prováděna samotným CSC, pokud je to možné. | Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | 2.0.0 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Spravované instance Azure SQL by měly zakázat přístup k veřejné síti. | 1.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Oddělení dat u.07.3 – Funkce správy | U.07.3 | U.07.3 – Oprávnění k zobrazení nebo úpravě dat CSC a/nebo šifrovacích klíčů jsou udělena řízeným způsobem a používají se protokolovaná. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Oddělení dat u.07.3 – Funkce správy | U.07.3 | U.07.3 – Oprávnění k zobrazení nebo úpravě dat CSC a/nebo šifrovacích klíčů jsou udělena řízeným způsobem a používají se protokolovaná. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| U.11.1 Cryptoservices - Zásady | U.11.1 | V kryptografické politice byly propracovany alespoň předměty v souladu s BIO. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| U.11.2 Cryptoservices – kryptografické míry | U.11.2 | V případě certifikátů PKIoverheid se pro správu klíčů používají požadavky PKIoverheid. V jiných situacích použijte ISO11770. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.0 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | 2.0.1 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | 2.0.1 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | 1.0.2 |
| Protokolování a monitorování U.15.3 – Protokolované události | U.15.3 | CSP udržuje seznam všech prostředků, které jsou důležité z hlediska protokolování a monitorování a kontroly tohoto seznamu. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
PCI DSS 3.2.1
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma PCI DSS 3.2.1. Další informace o této normě dodržování předpisů naleznete v tématu PCI DSS 3.2.1.
PCI DSS v4.0
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro PCI DSS v4.0. Další informace o této normě dodržování předpisů najdete v tématu PCI DSS v4.0.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet | 10.2.2 | Protokoly auditu se implementují tak, aby podporovaly detekci anomálií a podezřelých aktivit a forenzní analýzu událostí. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet | 10.3.3 | Protokoly auditu jsou chráněné před zničením a neoprávněnými úpravami. | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Požadavek 11: Pravidelné testování zabezpečení systémů a sítí | 11.3.1 | Externí a interní ohrožení zabezpečení se pravidelně identifikují, upřednostňují a řeší | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 03: Ochrana uložených dat účtu | 3.3.3 | Citlivá ověřovací data (SAD) se po autorizaci neukládají. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Požadavek 03: Ochrana uložených dat účtu | 3.5.1 | Primární číslo účtu (PAN) je zabezpečené všude, kde je uloženo | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.1 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.2 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.3 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.2.4 | Bezpečné vytváření vlastních softwaru a bespoke | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.3.3 | Zjištěná a adresovaná ohrožení zabezpečení | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.4.1 | Veřejné webové aplikace jsou chráněné proti útokům | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Požadavek 07: Omezení přístupu k systémovým komponentám a datům držitelů karet podle obchodních potřeb | 7.3.1 | Přístup k systémovým komponentám a datům se spravuje prostřednictvím systémů řízení přístupu. | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.4.1 | Pro zabezpečení přístupu k CDE se implementuje vícefaktorové ověřování (MFA). | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
Reserve Bank of India - IT Framework for NBFC
Pokud chcete zkontrolovat, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Reserve Bank of India – IT Framework pro NBFC. Další informace o této normě dodržování předpisů naleznete v tématu Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT Framework for Banks v2016
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – RBI ITF Banks v2016. Další informace o této normě dodržování předpisů najdete v tématu RBI ITF Banks v2016 (PDF).
RMIT Malajsie
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů Azure Policy – RMIT Malajsie. Další informace o této normě dodržování předpisů naleznete v tématu RMIT Malajsie.
SWIFT CSP-CSCF v2021
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v podrobnostech o dodržování právních předpisů azure Policy pro SWIFT CSP-CSCF v2021. Další informace o této normě dodržování předpisů najdete v tématu SWIFT CSP CSCF v2021.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Ochrana prostředí SWIFT | 1,1 | Ochrana prostředí SWIFT | Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | 1.1.0 |
| Ochrana prostředí SWIFT | 1,1 | Ochrana prostředí SWIFT | SQL Server by měl používat koncový bod služby virtuální sítě. | 1.0.0 |
| Ochrana prostředí SWIFT | 1.2 | Privileged Account Control operačního systému | Správce Azure Active Directory by měl být zřízený pro sql servery. | 1.0.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.1 | Interní zabezpečení Tok dat | Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | 2.0.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.1 | Interní zabezpečení Tok dat | Spravovaná instance SQL by měla mít minimální verzi protokolu TLS verze 1.2. | 1.0.1 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.5A | Ochrana dat externího přenosu | Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | 2.0.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.5A | Ochrana dat externího přenosu | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Důvěrnost a integrita relace operátoru | Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | 2.0.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Důvěrnost a integrita relace operátoru | Spravovaná instance SQL by měla mít minimální verzi protokolu TLS verze 1.2. | 1.0.1 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.7 | Kontrola ohrožení zabezpečení | Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | 4.1.0 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.7 | Kontrola ohrožení zabezpečení | Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | 1.0.1 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.7 | Kontrola ohrožení zabezpečení | Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | 3.0.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.3 | Integrita databáze | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.3 | Integrita databáze | Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | 1.1.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.3 | Integrita databáze | SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | 3.0.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.3 | Integrita databáze | transparentní šifrování dat v databázích SQL by měly být povolené | 2.0.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Protokolování a monitorování | Auditování na SQL Serveru by mělo být povolené. | 2.0.0 |
UK OFFICIAL a UK NHS
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – UK OFFICIAL a UK NHS. Další informace o této normě dodržování předpisů naleznete v tématu UK OFFICIAL.
Další kroky
- Přečtěte si další informace o dodržování právních předpisů azure Policy.
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.