Podrobnosti o srovnávacím testu CIS Microsoft Azure Foundations 1.1.0 s integrovanou iniciativou dodržování předpisů
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů Azure Policy mapuje na domény dodržování předpisů a kontroly v srovnávacím testu CIS Microsoft Azure Foundations 1.1.0. Další informace o tomto standardu dodržování předpisů naleznete v tématu CIS Microsoft Azure Foundations Benchmark 1.1.0. Informace o vlastnictví najdete v tématu Definice zásad Azure Policy a Sdílená odpovědnost v cloudu.
Následující mapování jsou na kontrolní mechanismy CIS Microsoft Azure Foundations Benchmark 1.1.0 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definici iniciativy CIS Microsoft Azure Foundations Benchmark v1.1.0 .
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
1 Správa identit a přístupu
Ujistěte se, že je pro všechny privilegované uživatele povolené vícefaktorové ověřování.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Uživatelé můžou do svého Přístupový panel přidávat aplikace z galerie, je nastavená na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je možnost Uživatelé registrovat aplikace nastavená na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je nastavená možnost Oprávnění uživatele typu host nastavená na Ano.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Členové můžou pozvat nastavenou na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Host může pozvat na hodnotu Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je možnost Omezit přístup k portálu pro správu Azure AD nastavená na Ano.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je povolená samoobslužná správa skupin na hodnotu Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Uživatelé můžou vytvářet skupiny zabezpečení nastavená na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Uživatelé, kteří můžou spravovat skupiny zabezpečení, je nastavená na Žádné.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je možnost Uživatelé můžou vytvářet skupiny Office 365 nastavená na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je pro všechny uživatele bez oprávnění povolené vícefaktorové ověřování.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Uživatelé, kteří můžou spravovat skupiny Office 365, je nastavená na Žádné.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Vyžadovat vícefaktorové ověřování pro připojení zařízení je nastavená na Ano.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Školení k dokumentování mobility | CMA_0191 – Školení k dokumentování mobility | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Splnění požadavků na kvalitu tokenu | CMA_0487 – Splnění požadavků na kvalitu tokenu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že nejsou vytvořené žádné vlastní role vlastníka předplatného.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.23 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že neexistují žádní uživatelé typu host.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění. | CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských účtů | CMA_0480 – Kontrola uživatelských účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských oprávnění | CMA_C1039 – Kontrola uživatelských oprávnění | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Povolit uživatelům pamatovat si vícefaktorové ověřování na zařízeních, kterým důvěřují, je zakázaná.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Splnění požadavků na kvalitu tokenu | CMA_0487 – Splnění požadavků na kvalitu tokenu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že počet dní před zobrazením výzvy k opětovnému potvrzení ověřovacích údajů není nastaven na hodnotu 0.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že "upozornit uživatele na resetování hesel?". je nastavená na Ano.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Implementace trénování pro ochranu ověřovacích modulů | CMA_0329 – Implementace trénování pro ochranu ověřovacích metod | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že chcete upozornit všechny správce, když ostatní správci resetují heslo? je nastavená na Ano.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Implementace trénování pro ochranu ověřovacích modulů | CMA_0329 – Implementace trénování pro ochranu ověřovacích metod | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že možnost Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavená na Ne.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
2 Security Center
Ujistěte se, že je vybraná cenová úroveň Standard.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Zjištění síťových služeb, které nebyly autorizované nebo schválené | CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování posouzení ohrožení zabezpečení" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování šifrování objektů blob úložiště" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC Monitor JIT Network Access není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zjištění síťových služeb, které nebyly autorizované nebo schválené | CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené | Ručně, zakázáno | 1.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování adaptivního přidávání aplikací na seznam povolených" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování auditování SQL" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování šifrování SQL" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
Ujistěte se, že je nastavená možnost E-maily kontaktů zabezpečení.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Ujistěte se, že možnost Odeslat e-mailové oznámení pro upozornění s vysokou závažností je nastavená na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.1.0 |
Ujistěte se, že možnost Odeslat e-mail také vlastníkům předplatného je nastavená na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
Ujistěte se, že je automatické zřizování agenta monitorování nastavené na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics. | Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure. | AuditIfNotExists, zakázáno | 1.0.1 |
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování systémových Aktualizace" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování ohrožení zabezpečení operačního systému" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC Monitor Endpoint Protection není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC Monitor Disk Encryption není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování skupin zabezpečení sítě" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC "Monitorování firewallu webových aplikací" není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí nastavení zásad ASC Povolit monitorování brány firewall nové generace (NGFW) není zakázané.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
3 Účty úložiště
Ujistěte se, že je vyžadován zabezpečený přenos nastavený na Povoleno.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
Ujistěte se, že se přístupové klíče účtu úložiště pravidelně znovu vygenerují.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro službu Queue je povolené protokolování úložiště pro žádosti o čtení, zápis a odstranění.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Konfigurace možností auditu Azure | CMA_C1108 – Konfigurace možností auditu Azure | Ručně, zakázáno | 1.1.1 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že platnost tokenů sdíleného přístupového podpisu vyprší do hodiny.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zakázání ověřovacích modulů po ukončení | CMA_0169 – Zakázání ověřovacích modulů po ukončení | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Automatické ukončení uživatelské relace | CMA_C1054 – Ukončení uživatelské relace automaticky | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že jsou tokeny sdíleného přístupového podpisu povolené jenom přes https.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je úroveň veřejného přístupu nastavená na privátní pro kontejnery objektů blob.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že výchozí pravidlo přístupu k síti pro účty úložiště je nastavené na odepření.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
Ujistěte se, že je pro přístup k účtu úložiště povolená možnost Důvěryhodné služby Microsoftu.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
4 Databázové služby
Ujistěte se, že je auditování nastavené na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že ochrana transparentním šifrováním dat SQL serveru je šifrovaná pomocí BYOK (použití vlastního klíče).
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
Ujistěte se, že je pro databázový server MySQL nastavená možnost Vynutit připojení SSL na POVOLENO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je parametr serveru log_checkpoints nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Pro databázové servery PostgreSQL by měly být povolené kontrolní body protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_checkpoints nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je pro databázový server PostgreSQL nastavená možnost Vynutit připojení SSL na POVOLENO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je parametr serveru log_connections nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Pro databázové servery PostgreSQL by měla být povolená připojení protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_connections nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že parametr serveru log_disconnections je pro databázový server PostgreSQL nastavený na ZAPNUTO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Pro databázové servery PostgreSQL by se měly protokolovat odpojení. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. | AuditIfNotExists, zakázáno | 1.0.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že parametr serveru log_duration je pro databázový server PostgreSQL nastavený na ZAPNUTO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je parametr serveru connection_throttling nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Připojení omezování by mělo být povolené pro databázové servery PostgreSQL. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení omezování Připojení. Toto nastavení umožňuje dočasné omezování připojení na IP adresu pro příliš mnoho neplatných selhání přihlášení pomocí hesla. | AuditIfNotExists, zakázáno | 1.0.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že parametr serveru log_retention_days je pro databázový server PostgreSQL delší než 3 dny.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je nakonfigurovaná služba Azure Active Directory Správa.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je správně nastavená hodnota AuditActionGroups v zásadách auditování pro SQL Server.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Nastavení auditování SQL by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. | Vlastnost AuditActionsAndGroups by měla obsahovat alespoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP, aby se zajistilo důkladné protokolování auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že uchovávání auditování je větší než 90 dnů.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že je na SQL Serveru nastavená možnost Advanced Data Security na zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že jsou typy detekce hrozeb nastavené na Vše.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je nastavená možnost Odeslat upozornění.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je povolená e-mailová služba a spolusprávci.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je nakonfigurovaná služba Azure Active Directory Správa.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
5 Protokolování a monitorování
Ujistěte se, že profil protokolu existuje.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je uchovávání protokolu aktivit nastavené 365 dnů nebo vyšší.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. | Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). | AuditIfNotExists, zakázáno | 1.0.0 |
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že profil auditu zachycuje všechny aktivity.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. | Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. | AuditIfNotExists, zakázáno | 1.0.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že profil protokolu zaznamenává protokoly aktivit pro všechny oblasti, včetně globálního
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že kontejner úložiště, který ukládá protokoly aktivit, není veřejně přístupný.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Povolení duální nebo společné autorizace | CMA_0226 – Povolení duálního nebo společného autorizace | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že účet úložiště obsahující kontejner s protokoly aktivit je šifrovaný pomocí BYOK (použití vlastního klíče).
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení duální nebo společné autorizace | CMA_0226 – Povolení duálního nebo společného autorizace | Ručně, zakázáno | 1.1.0 |
| Zachování integrity systému auditu | CMA_C1133 – zachování integrity systému auditu | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
| Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. | Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je protokolování pro Službu Azure KeyVault povolené.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Protokoly prostředků ve spravovaném HSM služby Azure Key Vault by měly být povolené. | Pokud chcete znovu vytvořit záznamy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo když dojde k ohrožení sítě, můžete chtít auditovat povolením protokolů prostředků ve spravovaných HSM. Postupujte podle zde uvedených pokynů: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, zakázáno | 1.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro přiřazení zásad vytvoření existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro skupinu zabezpečení sítě pro vytvoření nebo aktualizaci skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro odstranění skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro pravidlo vytvoření nebo aktualizace pravidla skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro pravidlo odstranit skupinu zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro řešení pro vytvoření nebo aktualizaci řešení zabezpečení existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro řešení odstranění zabezpečení existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro pravidlo brány firewall pro vytvoření nebo aktualizaci nebo odstranění pravidla brány firewall SQL Serveru existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že pro zásady zabezpečení aktualizací existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
6 Sítě
Ujistěte se, že žádné služby SQL Database neumožňují příchozí přenos dat 0.0.0.0/0 (LIBOVOLNÁ IP adresa).
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že doba uchovávání protokolů toku skupiny zabezpečení sítě je delší než 90 dnů.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je služba Network Watcher povolená.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Ověření funkcí zabezpečení | CMA_C1708 – Ověření funkcí zabezpečení | Ručně, zakázáno | 1.1.0 |
7 Virtuální počítače
Ujistěte se, že je zašifrovaný disk s operačním systémem.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Ujistěte se, že jsou datové disky šifrované.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Ujistěte se, že jsou nepřipojené disky šifrované.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
Ujistěte se, že jsou použity nejnovější opravy operačního systému pro všechny virtuální počítače.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
Ujistěte se, že je nainstalovaná ochrana koncových bodů pro všechny virtuální počítače.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
8 Další aspekty zabezpečení
Ujistěte se, že je pro všechny klíče nastavené datum vypršení platnosti.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je pro všechny tajné kódy nastavené datum vypršení platnosti.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že jsou zámky prostředků nastavené pro klíčové prostředky Azure.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je trezor klíčů obnovitelný.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. | Škodlivé odstranění spravovaného HSM služby Azure Key Vault může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit spravovaný HSM služby Azure Key Vault. Ochrana před vymazáním chrání před vnitřními útoky tím, že vynucuje povinnou dobu uchovávání pro obnovitelné odstranění spravovaného HSM služby Azure Key Vault. Nikdo ve vaší organizaci ani Microsoft nebude moct během doby uchovávání obnovitelného odstranění vyprázdnit spravovaný HSM služby Azure Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Zachování dostupnosti informací | CMA_C1644 – zachování dostupnosti informací | Ručně, zakázáno | 1.1.0 |
Povolení řízení přístupu na základě role (RBAC) ve službě Azure Kubernetes Services
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
9 AppService
Ujistěte se, že je ve službě Aplikace Azure Service nastavené ověřování služby App Service.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. | AuditIfNotExists, zakázáno | 2.0.1 |
| Ověřování v kryptografickém modulu | CMA_0021 – Ověřování v kryptografickém modulu | Ručně, zakázáno | 1.1.0 |
| Vynucení jedinečnosti uživatele | CMA_0250 – vynucování jedinečnosti uživatele | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. | AuditIfNotExists, zakázáno | 3.0.0 |
| Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány | CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že verze HTTP je nejnovější, pokud se používá ke spuštění webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že webová aplikace přesměruje veškerý provoz HTTP na HTTPS ve službě Aplikace Azure Service.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že webová aplikace používá nejnovější verzi šifrování TLS.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je ve webové aplikaci nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Ověřování v kryptografickém modulu | CMA_0021 – Ověřování v kryptografickém modulu | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že je ve službě App Service povolená registrace v Azure Active Directory.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že verze .Net Framework je nejnovější, pokud se používá jako součást webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že verze PHP je nejnovější, pokud se používá ke spuštění webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že verze Pythonu je nejnovější, pokud se používá ke spuštění webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že verze Java je nejnovější, pokud se používá ke spuštění webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.