Podrobnosti o integrované iniciativě dodržování právních předpisů na úrovni 3 CMMC
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v CMMC úrovně 3. Další informace o této normě dodržování předpisů najdete v tématu CMMC Level 3. Informace o vlastnictví najdete v tématu Definice zásad Azure Policy a Sdílená odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky CMMC level 3 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definici iniciativy dodržování právních předpisů na úrovni 3 řadiče pro správu základní desky.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Řízení přístupu
Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů).
ID: CMMC L3 AC.1.001 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět.
ID: CMMC L3 AC.1.002 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Ověřte a kontrolují a omezují připojení k externím informačním systémům a jejich používání.
ID: CMMC L3 AC.1.003 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
Používejte princip nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů.
ID: CMMC L3 AC.2.007 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Při přístupu k funkcím bez zabezpečení používejte neprivilegované účty nebo role.
ID: CMMC L3 AC.2.008 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Přiřazení uživatelských práv pro povolení místního přihlášení, protokolu RDP, přístupu ze sítě a mnoha dalších aktivit uživatelů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Monitorování a řízení relací vzdáleného přístupu
ID: CMMC L3 AC.2.013 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Řízení toku CUI v souladu se schválenými autorizací.
ID: CMMC L3 AC.2.016 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze.
ID: CMMC L3 AC.3.017 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators neobsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Zabraňte neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachytávání provádění těchto funkcí v protokolech auditu.
ID: CMMC L3 AC.3.018 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Použití oprávnění k auditování nesmyslů a dalších použití oprávnění. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení
ID: CMMC L3 AC.3.021 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Přiřazení uživatelských práv pro povolení místního přihlášení, protokolu RDP, přístupu ze sítě a mnoha dalších aktivit uživatelů. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Audit a odpovědnost
Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce.
ID: CMMC L3 AU.2.041 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. | Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu.
ID: CMMC L3 AU.2.042 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. | Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
Výstraha v případě selhání procesu protokolování auditu
ID: CMMC L3 AU.3.046 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť.
ID: CMMC L3 AU.3.048 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. | AuditIfNotExists, zakázáno | 2.0.1 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
Chraňte informace o auditu a nástroje pro protokolování auditu před neoprávněným přístupem, úpravami a odstraněním.
ID: CMMC L3 AU.3.049 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
Posouzení zabezpečení
Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné.
ID: CMMC L3 CA.2.158 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol.
ID: CMMC L3 CA.3.161 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Správa konfigurace
Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému.
ID: CMMC L3 CM.2.061 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
Použití principu nejnižší funkčnosti konfigurací organizačních systémů tak, aby poskytovaly pouze základní možnosti.
ID: CMMC L3 CM.2.062 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Použití oprávnění k auditování nesmyslů a dalších použití oprávnění. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Řízení a monitorování softwaru nainstalovaného uživatelem
ID: CMMC L3 CM.2.063 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Řízení uživatelských účtů pro správce, chování výzvy ke zvýšení oprávnění a virtualizaci selhání zápisu do souboru a registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech.
ID: CMMC L3 CM.2.064 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Sledujte, kontrolujte, schvalujte nebo neschvalujte a protokolujte změny v organizačních systémech.
ID: CMMC L3 CM.2.065 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Zásady auditu systému – Změna zásad pro auditování změn v zásadách auditu systému. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb.
ID: CMMC L3 CM.3.068 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Použijte zásadu odepření po výjimce (blacklisting), abyste zabránili použití neautorizovaného softwaru nebo odepření všech zásad povolení po výjimce (přidávání na seznam povolených), aby bylo možné spouštět autorizovaný software.
ID: CMMC L3 CM.3.069 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
Identifikace a ověřování
Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace.
ID: CMMC L3 IA.1.077 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky.
ID: CMMC L3 IA.2.078 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Zakázat opakované použití hesla pro zadaný počet generací.
ID: CMMC L3 IA.2.079 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Ukládat a přenášet pouze kryptograficky chráněná hesla.
ID: CMMC L3 IA.2.081 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Pro přístup k privilegovaným účtům a síťovému přístupu k účtům bez oprávnění použijte vícefaktorové ověřování.
ID: CMMC L3 IA.3.083 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Pro přístup k privilegovaným a neprivilegovaným účtům používejte mechanismy ověřování odolné proti přehrání.
ID: CMMC L3 IA.3.084 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Reakce na incident
Vytvořte provozní schopnost zpracování incidentů pro organizační systémy, které zahrnují aktivity přípravy, detekce, analýzy, omezení, obnovení a reakce uživatelů.
ID: CMMC L3 IR.2.092 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.1.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Detekce a hlášení událostí
ID: CMMC L3 IR.2.093 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Nasazení služby Advanced Threat Protection pro účty Cosmos DB | Tato zásada umožňuje rozšířenou ochranu před internetovými útoky napříč účty Cosmos DB. | DeployIfNotExists, zakázáno | 1.0.0 |
| Nasazení Defenderu pro úložiště (Classic) v účtech úložiště | Tato zásada povolí Defender for Storage (Classic) u účtů úložiště. | DeployIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.1.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Obnovovací
Pravidelně provádí a testuje zálohování dat.
ID: CMMC L3 RE.2.137 Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
Pravidelné provádění kompletních, komplexních a odolných záloh dat podle organizační definice.
ID: CMMC L3 RE.3.139 Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
Posouzení rizik
Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI.
ID: CMMC L3 RM.2.141 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace.
ID: CMMC L3 RM.2.142 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Opravte ohrožení zabezpečení v souladu s posouzeními rizik.
ID: CMMC L3 RM.2.143 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit. | Auditujte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazují se jako doporučení ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. | Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Řízení rizik
Pravidelně provádí posouzení rizik, která identifikují a upřednostňují rizika podle definovaných kategorií rizik, zdrojů rizik a kritérií měření rizik.
ID: CMMC L3 RM.3.144 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
System and Communications Protection
Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů.
ID: CMMC L3 SC.1.175 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí.
ID: CMMC L3 SC.1.176 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Pro správu síťových zařízení používejte šifrované relace.
ID: CMMC L3 SC.2.179 Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI.
ID: CMMC L3 SC.3.177 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. | Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Spravujte požadavky organizace na dodržování předpisů zadáním minimální velikosti klíče pro certifikáty RSA uložené ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem. | Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Klíče by měly být zadaným kryptografickým typem RSA nebo EC. | Některé aplikace vyžadují použití klíčů zálohovaných určitým kryptografickým typem. Vynucujte ve vašem prostředí konkrétní typ kryptografického klíče, RSA nebo EC. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii se třemi tečkami by měly mít zadané názvy křivek. | Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Vyžadování šifrování u účtů Data Lake Store | Tato zásada zajišťuje, že pro všechny účty Data Lake Store je povolené šifrování. | deny | 1.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů.
ID: CMMC L3 SC.3.180 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Oddělte uživatelské funkce od funkcí správy systému.
ID: CMMC L3 SC.3.181 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Správa istrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Správa istrators obsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou).
ID: CMMC L3 SC.3.183 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| CORS by neměl umožňovat všem doménám přístup k rozhraní API pro FHIR. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám rozhraní API for FHIR. Pokud chcete chránit rozhraní API for FHIR, odeberte přístup pro všechny domény a explicitně definujte domény, které se mají připojit. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 3.0.1 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Přístup k síti pro zahrnutí přístupu anonymních uživatelů, místních účtů a vzdáleného přístupu k registru. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud nejsou jinak chráněny alternativními fyzickými bezpečnostními opatřeními.
ID: CMMC L3 SC.3.185 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech
ID: CMMC L3 SC.3.187 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Klíče by měly být zadaným kryptografickým typem RSA nebo EC. | Některé aplikace vyžadují použití klíčů zálohovaných určitým kryptografickým typem. Vynucujte ve vašem prostředí konkrétní typ kryptografického klíče, RSA nebo EC. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii se třemi tečkami by měly mít zadané názvy křivek. | Klíče zálohované kryptografií se třemi tečkami můžou mít různé názvy křivek. Některé aplikace jsou kompatibilní pouze se specifickými klíči se třemi tečkami. Vynucujte typy tří teček klíče křivky, které je možné vytvořit ve vašem prostředí. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Nastavte minimální povolenou velikost klíče pro použití s trezory klíčů. Použití klíčů RSA s malými klíči není bezpečným postupem a nesplňuje mnoho oborových požadavků na certifikaci. | Audit, Odepřít, Zakázáno | 1.0.1 |
Chraňte pravost komunikačních relací.
ID: CMMC L3 SC.3.190 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. | Spravujte požadavky organizace na dodržování předpisů zadáním minimální velikosti klíče pro certifikáty RSA uložené ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Ochrana důvěrnosti CUI v klidovém stavu.
ID: CMMC L3 SC.3.191 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vyžadování šifrování u účtů Data Lake Store | Tato zásada zajišťuje, že pro všechny účty Data Lake Store je povolené šifrování. | deny | 1.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Integrita systému a informací
Včas identifikovat, hlásit a opravovat informace a chyby informačního systému.
ID: CMMC L3 SI.1.210 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. | Umožňuje auditovat, jestli chybí nějaké aktualizace zabezpečení systému nebo důležité aktualizace, které by se měly nainstalovat, aby bylo jisté, že škálovací sady virtuálních počítačů s Windows a Linuxem jsou zabezpečené. | AuditIfNotExists, zakázáno | 3.0.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. | Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
Zajistěte ochranu před škodlivým kódem v příslušných umístěních v rámci informačních systémů organizace.
ID: CMMC L3 SI.1.211 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze.
ID: CMMC L3 SI.1.212 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
Proveďte pravidelné kontroly informačního systému a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí.
ID: CMMC L3 SI.1.213 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků.
ID: CMMC L3 SI.2.216 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. | Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. | Audit, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. | Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
Identifikace neoprávněného použití organizačních systémů
ID: CMMC L3 SI.2.217 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. | Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. | Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.