Podrobnosti o integrované iniciativě NIST SP 800-53 Rev. 5 Dodržování právních předpisů

Článek
04/10/2024

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů azure Policy mapuje na domény dodržování předpisů a kontrolní mechanismy v NIST SP 800-53 Rev. 5. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 5. Informace o vlastnictví najdete v tématu Definice zásad Azure Policy a Sdílená odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky NIST SP 800-53 Rev. 5 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte definici iniciativy NIST SP 800-53 Rev. 5 Dodržování právních předpisů.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Řízení přístupu

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 AC-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj zásad a postupů řízení přístupu	CMA_0144 – Vývoj zásad a postupů řízení přístupu	Ručně, zakázáno	1.1.0
Vynucení povinných a volitelných zásad řízení přístupu	CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu	Ručně, zakázáno	1.1.0
Řízení zásad a postupů	CMA_0292 – Řízení zásad a postupů	Ručně, zakázáno	1.1.0
Kontrola zásad a postupů řízení přístupu	CMA_0457 – Kontrola zásad a postupů řízení přístupu	Ručně, zakázáno	1.1.0

Správa účtů

ID: NIST SP 800-53 Rev. 5 AC-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky.	Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem.	AuditIfNotExists, zakázáno	3.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Aplikace App Service by měly používat spravovanou identitu.	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Přiřazení správců účtů	CMA_0015 – Přiřazení správců účtů	Ručně, zakázáno	1.1.0
Auditování využití vlastních rolí RBAC	Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb.	Audit, zakázáno	1.0.1
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat.	Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Definování a vynucování podmínek pro sdílené účty a účty skupin	CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin	Ručně, zakázáno	1.1.0
Definování typů účtů informačního systému	CMA_0121 – definování typů účtů informačního systému	Ručně, zakázáno	1.1.0
Oprávnění k přístupu k dokumentům	CMA_0186 – oprávnění k přístupu k dokumentům	Ručně, zakázáno	1.1.0
Vytvoření podmínek pro členství v rolích	CMA_0269 – Vytvoření podmínek pro členství v rolích	Ručně, zakázáno	1.1.0
Aplikace funkcí by měly používat spravovanou identitu	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat.	Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat.	Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Monitorování aktivity účtu	CMA_0377 – Monitorování aktivity účtu	Ručně, zakázáno	1.1.0
Upozornit správce účtů na účty řízené zákazníky	CMA_C1009 – upozornit správce účtů na účty řízené zákazníky	Ručně, zakázáno	1.1.0
Reissue authenticators for changed groups and accounts	CMA_0426 – reissue authenticátory pro změněné skupiny a účty	Ručně, zakázáno	1.1.0
Vyžadovat schválení pro vytvoření účtu	CMA_0431 – Vyžadování schválení pro vytvoření účtu	Ručně, zakázáno	1.1.0
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Kontrola uživatelských účtů	CMA_0480 – Kontrola uživatelských účtů	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0

Automatizovaná správa účtů systému

ID: NIST SP 800-53 Rev. 5 AC-2 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Automatizace správy účtů	CMA_0026 – Automatizace správy účtů	Ručně, zakázáno	1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Správa účtů systému a správců	CMA_0368 – Správa účtů systému a správců	Ručně, zakázáno	1.1.0
Monitorování přístupu v celé organizaci	CMA_0376 – Monitorování přístupu v celé organizaci	Ručně, zakázáno	1.1.0
Upozornit, když účet není potřeba	CMA_0383 – Upozornit, když účet není potřeba	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0

Zakázání účtů

ID: NIST SP 800-53 Rev. 5 AC-2 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zakázání ověřovacích modulů po ukončení	CMA_0169 – Zakázání ověřovacích modulů po ukončení	Ručně, zakázáno	1.1.0
Odvolání privilegovaných rolí podle potřeby	CMA_0483 – Odvolání privilegovaných rolí podle potřeby	Ručně, zakázáno	1.1.0

Automatizované akce auditu

ID: NIST SP 800-53 Rev. 5 AC-2 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Automatizace správy účtů	CMA_0026 – Automatizace správy účtů	Ručně, zakázáno	1.1.0
Správa účtů systému a správců	CMA_0368 – Správa účtů systému a správců	Ručně, zakázáno	1.1.0
Monitorování přístupu v celé organizaci	CMA_0376 – Monitorování přístupu v celé organizaci	Ručně, zakázáno	1.1.0
Upozornit, když účet není potřeba	CMA_0383 – Upozornit, když účet není potřeba	Ručně, zakázáno	1.1.0

Odhlášení nečinnosti

ID: NIST SP 800-53 Rev. 5 AC-2 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování a vynucení zásad protokolu nečinnosti	CMA_C1017 – Definování a vynucování zásad protokolu nečinnosti	Ručně, zakázáno	1.1.0

Privilegované uživatelské účty

ID: NIST SP 800-53 Rev. 5 AC-2 (7) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Auditování využití vlastních rolí RBAC	Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb.	Audit, zakázáno	1.0.1
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Monitorování aktivity účtu	CMA_0377 – Monitorování aktivity účtu	Ručně, zakázáno	1.1.0
Monitorování přiřazení privilegovaných rolí	CMA_0378 – Monitorování přiřazení privilegovaných rolí	Ručně, zakázáno	1.1.0
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0
Odvolání privilegovaných rolí podle potřeby	CMA_0483 – Odvolání privilegovaných rolí podle potřeby	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0
Použití správy privilegovaných identit	CMA_0533 – Použití správy privilegovaných identit	Ručně, zakázáno	1.1.0

Omezení používání sdílených a skupinových účtů

ID: NIST SP 800-53 Rev. 5 AC-2 (9) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování a vynucování podmínek pro sdílené účty a účty skupin	CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin	Ručně, zakázáno	1.1.0

Podmínky použití

ID: NIST SP 800-53 Rev. 5 AC-2 (11) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení vhodného využití všech účtů	CMA_C1023 – vynucování vhodného využití všech účtů	Ručně, zakázáno	1.1.0

Monitorování účtů pro atypické využití

ID: NIST SP 800-53 Rev. 5 AC-2 (12) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Monitorování aktivity účtu	CMA_0377 – Monitorování aktivity účtu	Ručně, zakázáno	1.1.0
Nahlášení neobvyklého chování uživatelských účtů	CMA_C1025 – Hlášení neobvyklého chování uživatelských účtů	Ručně, zakázáno	1.1.0

Zakázání účtů pro vysoce rizikové jednotlivce

ID: NIST SP 800-53 Rev. 5 AC-2 (13) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zakázání uživatelských účtů představujících významné riziko	CMA_C1026 – Zakázání uživatelských účtů představujících významné riziko	Ručně, zakázáno	1.1.0

Vynucení přístupu

ID: NIST SP 800-53 Rev. 5 AC-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Aplikace App Service by měly používat spravovanou identitu.	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Auditování počítačů s Linuxem, které mají účty bez hesel	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel	AuditIfNotExists, zakázáno	3.1.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.	I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, zakázáno	3.2.0
Autorizace přístupu k funkcím zabezpečení a informacím	CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím	Ručně, zakázáno	1.1.0
Autorizace a správa přístupu	CMA_0023 – Autorizace a správa přístupu	Ručně, zakázáno	1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Vynucení logického přístupu	CMA_0245 – vynucení logického přístupu	Ručně, zakázáno	1.1.0
Vynucení povinných a volitelných zásad řízení přístupu	CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu	Ručně, zakázáno	1.1.0
Aplikace funkcí by měly používat spravovanou identitu	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Vyžadovat schválení pro vytvoření účtu	CMA_0431 – Vyžadování schválení pro vytvoření účtu	Ručně, zakázáno	1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům	CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru.	Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení.	Audit, Odepřít, Zakázáno	1.0.0
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru.	Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení.	Audit, Odepřít, Zakázáno	1.0.0

Řízení přístupu na základě role

ID: NIST SP 800-53 Rev. 5 AC-3 (7) Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure.	Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace.	Audit, zakázáno	1.0.3

Vynucení toku informací

ID: NIST SP 800-53 Rev. 5 AC-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit.	Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	3.1.0-preview
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.	Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky.	AuditIfNotExists, zakázáno	3.0.0
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.	Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky.	AuditIfNotExists, zakázáno	3.0.0
Služby API Management by měly používat virtuální síť.	Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti.	Audit, Odepřít, Zakázáno	1.0.2
Konfigurace aplikace by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, zakázáno	1.0.2
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím.	Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách.	AuditIfNotExists, zakázáno	2.0.0
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services.	Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí.	Audit, zakázáno	2.0.1
Prostředky azure AI Services by měly omezit síťový přístup.	Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí.	Audit, Odepřít, Zakázáno	3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení.	Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink.	Audit, zakázáno	1.0.0
Azure Cache for Redis by měl používat privátní propojení	Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, zakázáno	1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení.	Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti.	Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služby Azure Cognitive Search by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, zakázáno	1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall.	Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující.	Audit, Odepřít, Zakázáno	2.0.0
Azure Data Factory by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, zakázáno	1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Synchronizace souborů Azure by měl používat privátní propojení	Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall.	Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Odepřít, Zakázáno	3.2.1
Služby Azure Key Vault by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Pracovní prostory azure machine Učení by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, zakázáno	1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure SignalR by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink.	Audit, zakázáno	1.0.0
Pracovní prostory Azure Synapse by měly používat private link.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, zakázáno	1.0.1
Služba Azure Web PubSub by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink.	Audit, zakázáno	1.0.0
Účty služeb Cognitive Services by měly zakázat přístup k veřejné síti	Pokud chcete zlepšit zabezpečení účtů služeb Cognitive Services, ujistěte se, že není vystavený veřejnému internetu a je možné k němu přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://go.microsoft.com/fwlink/?linkid=2129800. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat.	Audit, Odepřít, Zakázáno	3.0.1
Služby Cognitive Services by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, zakázáno	3.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup	Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet	Audit, Odepřít, Zakázáno	2.0.0
Registry kontejnerů by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.	Audit, zakázáno	1.0.1
Tok informací o řízení	CMA_0079 – tok informací o řízení	Ručně, zakázáno	1.1.0
Účty Cosmos DB by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, zakázáno	1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, zakázáno	1.0.0
Použití mechanismů řízení toku zašifrovaných informací	CMA_0211 – využití mechanismů řízení toku zašifrovaných informací	Ručně, zakázáno	1.1.0
Obory názvů centra událostí by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet.	Audit, zakázáno	1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené.	Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači.	AuditIfNotExists, zakázáno	3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database.	Audit, zakázáno	1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný.	Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.1
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.	Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště.	Audit, Odepřít, Zakázáno	1.0.1
Účty úložiště by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, zakázáno	2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě.	Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě.	AuditIfNotExists, zakázáno	3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

Řízení toku dynamických informací

ID: NIST SP 800-53 Rev. 5 AC-4 (3) Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.	Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0

Filtry zásad zabezpečení a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 AC-4 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení toku informací pomocí filtrů zásad zabezpečení	CMA_C1029 – řízení toku informací pomocí filtrů zásad zabezpečení	Ručně, zakázáno	1.1.0

Fyzické nebo logické oddělení informačních toků

ID: NIST SP 800-53 Rev. 5 AC-4 (21) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Tok informací o řízení	CMA_0079 – tok informací o řízení	Ručně, zakázáno	1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače	CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače	Ručně, zakázáno	1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet	CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet	Ručně, zakázáno	1.1.0
Identifikace a správa výměn podřízených informací	CMA_0298 – Identifikace a správa výměn informací v podřízených	Ručně, zakázáno	1.1.0

Oddělení povinností

ID: NIST SP 800-53 Rev. 5 AC-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování autorizací přístupu pro podporu oddělení povinností	CMA_0116 – Definování autorizací přístupu pro podporu oddělení povinností	Ručně, zakázáno	1.1.0
Dokument oddělení povinností	CMA_0204 – dokument oddělení povinností	Ručně, zakázáno	1.1.0
Samostatné povinnosti jednotlivců	CMA_0492 - samostatné povinnosti jednotlivců	Ručně, zakázáno	1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.	Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného.	AuditIfNotExists, zakázáno	3.0.0

Nejnižší oprávnění

ID: NIST SP 800-53 Rev. 5 AC-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky.	Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem.	AuditIfNotExists, zakázáno	3.0.0
Auditování využití vlastních rolí RBAC	Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb.	Audit, zakázáno	1.0.1
Návrh modelu řízení přístupu	CMA_0129 – Návrh modelu řízení přístupu	Ručně, zakázáno	1.1.0
Využití přístupu s nejnižšími oprávněními	CMA_0212 – Využití přístupu s nejnižšími oprávněními	Ručně, zakázáno	1.1.0

Autorizace přístupu k funkcím zabezpečení

ID: NIST SP 800-53 Rev. 5 AC-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím	CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím	Ručně, zakázáno	1.1.0
Autorizace a správa přístupu	CMA_0023 – Autorizace a správa přístupu	Ručně, zakázáno	1.1.0
Vynucení povinných a volitelných zásad řízení přístupu	CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu	Ručně, zakázáno	1.1.0

Privilegované účty

ID: NIST SP 800-53 Rev. 5 AC-6 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0

Kontrola uživatelských oprávnění

ID: NIST SP 800-53 Rev. 5 AC-6 (7) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky.	Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem.	AuditIfNotExists, zakázáno	3.0.0
Auditování využití vlastních rolí RBAC	Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb.	Audit, zakázáno	1.0.1
Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění.	CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění	Ručně, zakázáno	1.1.0
Kontrola uživatelských oprávnění	CMA_C1039 – Kontrola uživatelských oprávnění	Ručně, zakázáno	1.1.0

Úrovně oprávnění pro spouštění kódu

ID: NIST SP 800-53 Rev. 5 AC-6 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení oprávnění ke spuštění softwaru	CMA_C1041 – Vynucení oprávnění ke spuštění softwaru	Ručně, zakázáno	1.1.0

Použití privilegovaných funkcí v protokolu

ID: NIST SP 800-53 Rev. 5 AC-6 (9) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Provedení úplné analýzy textu protokolovaných privilegovaných příkazů	CMA_0056 – Provedení úplné analýzy textu protokolovaných privilegovaných příkazů	Ručně, zakázáno	1.1.0
Monitorování přiřazení privilegovaných rolí	CMA_0378 – Monitorování přiřazení privilegovaných rolí	Ručně, zakázáno	1.1.0
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0
Odvolání privilegovaných rolí podle potřeby	CMA_0483 – Odvolání privilegovaných rolí podle potřeby	Ručně, zakázáno	1.1.0
Použití správy privilegovaných identit	CMA_0533 – Použití správy privilegovaných identit	Ručně, zakázáno	1.1.0

Neúspěšné pokusy o přihlášení

ID: NIST SP 800-53 Rev. 5 AC-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení	CMA_C1044 – Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení	Ručně, zakázáno	1.1.0

Řízení souběžné relace

ID: NIST SP 800-53 Rev. 5 AC-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování a vynucení limitu souběžných relací	CMA_C1050 – Definování a vynucení limitu souběžných relací	Ručně, zakázáno	1.1.0

Ukončení relace

ID: NIST SP 800-53 Rev. 5 AC-12 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatické ukončení uživatelské relace	CMA_C1054 – Ukončení uživatelské relace automaticky	Ručně, zakázáno	1.1.0

Odhlášení iniciované uživatelem

ID: NIST SP 800-53 Rev. 5 AC-12 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zobrazení explicitní zprávy o odhlášení	CMA_C1056 – zobrazení explicitní zprávy o odhlášení	Ručně, zakázáno	1.1.0
Poskytnutí možnosti odhlášení	CMA_C1055 – Poskytnutí možnosti odhlášení	Ručně, zakázáno	1.1.0

Povolené akce bez identifikace nebo ověřování

ID: NIST SP 800-53 Rev. 5 AC-14 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace povolených akcí bez ověřování	CMA_0295 – Identifikace povolených akcí bez ověřování	Ručně, zakázáno	1.1.0

Atributy zabezpečení a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 AC-16 Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2

Vzdálený přístup

ID: NIST SP 800-53 Rev. 5 AC-17 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Konfigurace aplikace by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, zakázáno	1.0.2
Aplikace app Service by měly mít vypnuté vzdálené ladění	Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	AuditIfNotExists, zakázáno	3.1.0
Autorizace vzdáleného přístupu	CMA_0024 – Autorizace vzdáleného přístupu	Ručně, zakázáno	1.1.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení.	Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink.	Audit, zakázáno	1.0.0
Azure Cache for Redis by měl používat privátní propojení	Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, zakázáno	1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení.	Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služby Azure Cognitive Search by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, zakázáno	1.0.0
Azure Data Factory by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, zakázáno	1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Synchronizace souborů Azure by měl používat privátní propojení	Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod.	AuditIfNotExists, zakázáno	1.0.0
Služby Azure Key Vault by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Pracovní prostory azure machine Učení by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, zakázáno	1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure SignalR by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink.	Audit, zakázáno	1.0.0
Azure Spring Cloud by měl používat injektáž sítě	Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud.	Audit, Zakázáno, Odepřít	1.2.0
Pracovní prostory Azure Synapse by měly používat private link.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, zakázáno	1.0.1
Služba Azure Web PubSub by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink.	Audit, zakázáno	1.0.0
Služby Cognitive Services by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, zakázáno	3.0.0
Registry kontejnerů by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.	Audit, zakázáno	1.0.1
Účty Cosmos DB by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, zakázáno	1.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Prostředky přístupu k diskům by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, zakázáno	1.0.0
Školení k dokumentování mobility	CMA_0191 – Školení k dokumentování mobility	Ručně, zakázáno	1.1.0
Zdokumentovat pokyny pro vzdálený přístup	CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup	Ručně, zakázáno	1.1.0
Obory názvů centra událostí by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění.	Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	Ručně, zakázáno	1.1.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet.	Audit, zakázáno	1.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database.	Audit, zakázáno	1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Poskytnutí školení k ochraně osobních údajů	CMA_0415 – poskytování školení k ochraně osobních údajů	Ručně, zakázáno	1.1.0
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, zakázáno	2.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

Monitorování a řízení

ID: NIST SP 800-53 Rev. 5 AC-17 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Konfigurace aplikace by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, zakázáno	1.0.2
Aplikace app Service by měly mít vypnuté vzdálené ladění	Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	AuditIfNotExists, zakázáno	3.1.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení.	Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink.	Audit, zakázáno	1.0.0
Azure Cache for Redis by měl používat privátní propojení	Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, zakázáno	1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení.	Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služby Azure Cognitive Search by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, zakázáno	1.0.0
Azure Data Factory by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, zakázáno	1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Synchronizace souborů Azure by měl používat privátní propojení	Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod.	AuditIfNotExists, zakázáno	1.0.0
Služby Azure Key Vault by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Pracovní prostory azure machine Učení by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, zakázáno	1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure SignalR by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink.	Audit, zakázáno	1.0.0
Azure Spring Cloud by měl používat injektáž sítě	Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud.	Audit, Zakázáno, Odepřít	1.2.0
Pracovní prostory Azure Synapse by měly používat private link.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, zakázáno	1.0.1
Služba Azure Web PubSub by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink.	Audit, zakázáno	1.0.0
Služby Cognitive Services by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, zakázáno	3.0.0
Registry kontejnerů by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.	Audit, zakázáno	1.0.1
Účty Cosmos DB by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, zakázáno	1.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Prostředky přístupu k diskům by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, zakázáno	1.0.0
Obory názvů centra událostí by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění.	Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet.	Audit, zakázáno	1.0.0
Monitorování přístupu v celé organizaci	CMA_0376 – Monitorování přístupu v celé organizaci	Ručně, zakázáno	1.1.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database.	Audit, zakázáno	1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, zakázáno	2.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

Ochrana důvěrnosti a integrity pomocí šifrování

ID: NIST SP 800-53 Rev. 5 AC-17 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Upozorňovat uživatele na přihlášení k systému nebo přístup	CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0

Spravované body řízení přístupu

ID: NIST SP 800-53 Rev. 5 AC-17 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Směrování provozu přes spravované síťové přístupové body	CMA_0484 – Směrování provozu přes spravované síťové přístupové body	Ručně, zakázáno	1.1.0

Privilegované příkazy a přístup

ID: NIST SP 800-53 Rev. 5 AC-17 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace vzdáleného přístupu	CMA_0024 – Autorizace vzdáleného přístupu	Ručně, zakázáno	1.1.0
Autorizace vzdáleného přístupu k privilegovaným příkazům	CMA_C1064 – Autorizace vzdáleného přístupu k privilegovaným příkazům	Ručně, zakázáno	1.1.0
Zdokumentovat pokyny pro vzdálený přístup	CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	Ručně, zakázáno	1.1.0
Poskytnutí školení k ochraně osobních údajů	CMA_0415 – poskytování školení k ochraně osobních údajů	Ručně, zakázáno	1.1.0

Odpojení nebo zakázání přístupu

ID: NIST SP 800-53 Rev. 5 AC-17 (9) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu	CMA_C1066 – Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu	Ručně, zakázáno	1.1.0

Bezdrátový přístup

ID: NIST SP 800-53 Rev. 5 AC-18 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentujte a implementujte pokyny pro bezdrátový přístup	CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup	Ručně, zakázáno	1.1.0
Ochrana bezdrátového přístupu	CMA_0411 – Ochrana bezdrátového přístupu	Ručně, zakázáno	1.1.0

Ověřování a šifrování

ID: NIST SP 800-53 Rev. 5 AC-18 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentujte a implementujte pokyny pro bezdrátový přístup	CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup	Ručně, zakázáno	1.1.0
Identifikace a ověřování síťových zařízení	CMA_0296 – Identifikace a ověřování síťových zařízení	Ručně, zakázáno	1.1.0
Ochrana bezdrátového přístupu	CMA_0411 – Ochrana bezdrátového přístupu	Ručně, zakázáno	1.1.0

Řízení přístupu pro mobilní zařízení

ID: NIST SP 800-53 Rev. 5 AC-19 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování požadavků na mobilní zařízení	CMA_0122 – Definování požadavků na mobilní zařízení	Ručně, zakázáno	1.1.0

Úplné šifrování na základě zařízení nebo kontejneru

ID: NIST SP 800-53 Rev. 5 AC-19 (5) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování požadavků na mobilní zařízení	CMA_0122 – Definování požadavků na mobilní zařízení	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0

Použití externích systémů

ID: NIST SP 800-53 Rev. 5 AC-20 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Stanovení podmínek a ujednání pro přístup k prostředkům	CMA_C1076 – Vytvoření podmínek a ujednání pro přístup k prostředkům	Ručně, zakázáno	1.1.0
Stanovení podmínek a ujednání pro zpracování prostředků	CMA_C1077 – Stanovení podmínek a ujednání pro zpracování prostředků	Ručně, zakázáno	1.1.0

Omezení autorizovaného použití

ID: NIST SP 800-53 Rev. 5 AC-20 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření bezpečnostních prvků pro externí informační systémy	CMA_0541 – Ověření bezpečnostních prvků pro externí informační systémy	Ručně, zakázáno	1.1.0

??? přenosných úložných zařízení Omezené použití

ID: NIST SP 800-53 Rev. 5 AC-20 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	Ručně, zakázáno	1.1.0
Řízení používání přenosných úložných zařízení	CMA_0083 – řízení používání přenosných úložných zařízení	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 AC-21 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace rozhodnutí o sdílení informací	CMA_0028 – Automatizace rozhodování o sdílení informací	Ručně, zakázáno	1.1.0
Usnadnění sdílení informací	CMA_0284 – usnadnění sdílení informací	Ručně, zakázáno	1.1.0

Veřejně přístupný obsah

ID: NIST SP 800-53 Rev. 5 AC-22 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení autorizovaných pracovníků k publikování veřejně přístupných informací	CMA_C1083 – Určení autorizovaných pracovníků k publikování veřejně přístupných informací	Ručně, zakázáno	1.1.0
Kontrola obsahu před publikováním veřejně přístupných informací	CMA_C1085 – Kontrola obsahu před publikováním veřejně přístupných informací	Ručně, zakázáno	1.1.0
Kontrola veřejně přístupného obsahu pro neveřejné informace	CMA_C1086 – Kontrola veřejně přístupného obsahu pro neveřejné informace	Ručně, zakázáno	1.1.0
Trénování pracovníků o zpřístupnění nepublikovaných informací	CMA_C1084 – trénování pracovníků o zpřístupnění nepublikovaných informací	Ručně, zakázáno	1.1.0

Povědomí a školení

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 AT-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	Ručně, zakázáno	1.1.0
Aktualizace zásad zabezpečení informací	CMA_0518 – aktualizace zásad zabezpečení informací	Ručně, zakázáno	1.1.0

Vzdělávání a povědomí o gramotnosti

ID: NIST SP 800-53 Rev. 5 AT-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení	CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení	Ručně, zakázáno	1.1.0
Zajištění školení zabezpečení pro nové uživatele	CMA_0419 – poskytování školení zabezpečení pro nové uživatele	Ručně, zakázáno	1.1.0
Zajištění aktualizovaného školení pro zvyšování povědomí o zabezpečení	CMA_C1090 – poskytování aktualizovaného školení pro zvyšování povědomí o zabezpečení	Ručně, zakázáno	1.1.0

Insider Threat

ID: NIST SP 800-53 Rev. 5 AT-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění školení o povědomí o zabezpečení pro vnitřní hrozby	CMA_0417 – poskytování školení pro zvyšování povědomí o zabezpečení pro vnitřní hrozby	Ručně, zakázáno	1.1.0

Trénování na základě rolí

ID: NIST SP 800-53 Rev. 5 AT-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění pravidelného trénování zabezpečení na základě rolí	CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Poskytnutí trénování zabezpečení na základě rolí	CMA_C1094 – Poskytování školení zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu	CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu	Ručně, zakázáno	1.1.0

Praktická cvičení

ID: NIST SP 800-53 Rev. 5 AT-3 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytnutí praktických cvičení založených na rolích	CMA_C1096 – poskytování praktických cvičení založených na rolích	Ručně, zakázáno	1.1.0

Trénovací záznamy

ID: NIST SP 800-53 Rev. 5 AT-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	Ručně, zakázáno	1.1.0
Monitorování dokončení školení zabezpečení a ochrany osobních údajů	CMA_0379 – Monitorování dokončení školení zabezpečení a ochrany osobních údajů	Ručně, zakázáno	1.1.0
Zachování trénovacích záznamů	CMA_0456 – Zachování trénovacích záznamů	Ručně, zakázáno	1.1.0

Audit a odpovědnost

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 AU-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj zásad a postupů auditu a odpovědnosti	CMA_0154 – vývoj zásad a postupů auditu a odpovědnosti	Ručně, zakázáno	1.1.0
Vývoj zásad a postupů zabezpečení informací	CMA_0158 – Vývoj zásad a postupů zabezpečení informací	Ručně, zakázáno	1.1.0
Řízení zásad a postupů	CMA_0292 – Řízení zásad a postupů	Ručně, zakázáno	1.1.0
Aktualizace zásad zabezpečení informací	CMA_0518 – aktualizace zásad zabezpečení informací	Ručně, zakázáno	1.1.0

Protokolování událostí

ID: NIST SP 800-53 Rev. 5 AU-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0

Obsah záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0

Další informace o auditu

ID: NIST SP 800-53 Rev. 5 AU-3 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace možností auditu Azure	CMA_C1108 – Konfigurace možností auditu Azure	Ručně, zakázáno	1.1.1

Kapacita úložiště protokolů auditu

ID: NIST SP 800-53 Rev. 5 AU-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení a monitorování aktivit zpracování auditu	CMA_0289 – Řízení a monitorování aktivit zpracování auditu	Ručně, zakázáno	1.1.0

Reakce na selhání procesu protokolování auditu

ID: NIST SP 800-53 Rev. 5 AU-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení a monitorování aktivit zpracování auditu	CMA_0289 – Řízení a monitorování aktivit zpracování auditu	Ručně, zakázáno	1.1.0

Výstrahy v reálném čase

ID: NIST SP 800-53 Rev. 5 AU-5 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytování výstrah v reálném čase pro selhání událostí auditu	CMA_C1114 – poskytování výstrah v reálném čase pro selhání událostí auditu	Ručně, zakázáno	1.1.0

Kontrola, analýza a generování sestav záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav	CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav	Ručně, zakázáno	1.1.0
Integrace kontroly auditu, analýzy a generování sestav	CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Týdenní kontrola přiřazení správců	CMA_0461 – týdenní kontrola přiřazení správců	Ručně, zakázáno	1.1.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Přehled sestavy cloudových identit	CMA_0468 – Přehled sestav cloudových identit	Ručně, zakázáno	1.1.0
Kontrola událostí přístupu k řízeným složkům	CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce	Ručně, zakázáno	1.1.0
Kontrola aktivity souborů a složek	CMA_0473 – Kontrola aktivity souborů a složek	Ručně, zakázáno	1.1.0
Týdenní kontrola změn skupin rolí	CMA_0476 – týdenní kontrola změn skupin rolí	Ručně, zakázáno	1.1.0

Automatizovaná integrace procesů

ID: NIST SP 800-53 Rev. 5 AU-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav	CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav	Ručně, zakázáno	1.1.0
Integrace kontroly auditu, analýzy a generování sestav	CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Týdenní kontrola přiřazení správců	CMA_0461 – týdenní kontrola přiřazení správců	Ručně, zakázáno	1.1.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Přehled sestavy cloudových identit	CMA_0468 – Přehled sestav cloudových identit	Ručně, zakázáno	1.1.0
Kontrola událostí přístupu k řízeným složkům	CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce	Ručně, zakázáno	1.1.0
Kontrola aktivity souborů a složek	CMA_0473 – Kontrola aktivity souborů a složek	Ručně, zakázáno	1.1.0
Týdenní kontrola změn skupin rolí	CMA_0476 – týdenní kontrola změn skupin rolí	Ručně, zakázáno	1.1.0

Korelace úložišť záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-6 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0

Centrální kontrola a analýza

ID: NIST SP 800-53 Rev. 5 AU-6 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem.	Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc	Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků.	Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	2.0.1
Auditování na SQL Serveru by mělo být povolené.	Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu.	AuditIfNotExists, zakázáno	2.0.0
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.	Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure.	AuditIfNotExists, zakázáno	1.0.1
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.	Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	1.0.3
Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center.	Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center.	Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v centru událostí by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v Logic Apps by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.1.0
Protokoly prostředků v Search by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.	Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol	AuditIfNotExists, zakázáno	1.0.1

Integrovaná analýza záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-6 (5) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem.	Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc	Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků.	Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	2.0.1
Auditování na SQL Serveru by mělo být povolené.	Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu.	AuditIfNotExists, zakázáno	2.0.0
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.	Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure.	AuditIfNotExists, zakázáno	1.0.1
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.	Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	1.0.3
Integrace analýzy záznamů auditu	CMA_C1120 – Integrace analýzy záznamů auditu	Ručně, zakázáno	1.1.0
Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center.	Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center.	Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v centru událostí by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v Logic Apps by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.1.0
Protokoly prostředků v Search by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.	Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol	AuditIfNotExists, zakázáno	1.0.1

Povolené akce

ID: NIST SP 800-53 Rev. 5 AU-6 (7) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení povolených akcí přidružených k informacím o auditu zákazníka	CMA_C1122 – Určení povolených akcí přidružených k informacím o auditu zákazníka	Ručně, zakázáno	1.1.0

Snížení počtu záznamů auditu a generování sestav

ID: NIST SP 800-53 Rev. 5 AU-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ujistěte se, že záznamy auditu nejsou změněné.	CMA_C1125 – Ujistěte se, že záznamy auditu nejsou změněné.	Ručně, zakázáno	1.1.0
Zajištění kontroly auditu, analýzy a vytváření sestav	CMA_C1124 – poskytování kontroly auditu, analýzy a vytváření sestav	Ručně, zakázáno	1.1.0

Automatické zpracování

ID: NIST SP 800-53 Rev. 5 AU-7 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem	CMA_C1126 – poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem	Ručně, zakázáno	1.1.0

Časová razítka

ID: NIST SP 800-53 Rev. 5 AU-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití systémových hodin pro záznamy auditu	CMA_0535 – Použití systémových hodin pro záznamy auditu	Ručně, zakázáno	1.1.0

Ochrana informací o auditu

ID: NIST SP 800-53 Rev. 5 AU-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Povolení duální nebo společné autorizace	CMA_0226 – Povolení duálního nebo společného autorizace	Ručně, zakázáno	1.1.0
Ochrana informací o auditu	CMA_0401 – Ochrana informací o auditu	Ručně, zakázáno	1.1.0

Ukládání na samostatné fyzické systémy nebo komponenty

ID: NIST SP 800-53 Rev. 5 AU-9 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření zásad a postupů zálohování	CMA_0268 – Vytvoření zásad a postupů zálohování	Ručně, zakázáno	1.1.0

Kryptografická ochrana

ID: NIST SP 800-53 Rev. 5 AU-9 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zachování integrity systému auditu	CMA_C1133 – zachování integrity systému auditu	Ručně, zakázáno	1.1.0

Přístup podmnožinou privilegovaných uživatelů

ID: NIST SP 800-53 Rev. 5 AU-9 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ochrana informací o auditu	CMA_0401 – Ochrana informací o auditu	Ručně, zakázáno	1.1.0

Neodvolatelnost

ID: NIST SP 800-53 Rev. 5 AU-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Stanovení požadavků na elektronický podpis a certifikát	CMA_0271 – Stanovení požadavků na elektronický podpis a certifikát	Ručně, zakázáno	1.1.0

Uchovávání záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-11 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Dodržování definovaných období uchovávání	CMA_0004 – dodržování definovaných období uchovávání	Ručně, zakázáno	1.1.0
Zachování zásad a postupů zabezpečení	CMA_0454 – Zachování zásad a postupů zabezpečení	Ručně, zakázáno	1.1.0
Zachování ukončených uživatelských dat	CMA_0455 – Zachování ukončených uživatelských dat	Ručně, zakázáno	1.1.0
SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími	Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů.	AuditIfNotExists, zakázáno	3.0.0

Generování záznamů auditu

ID: NIST SP 800-53 Rev. 5 AU-12 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem.	Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc	Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků.	Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	2.0.1
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Auditování na SQL Serveru by mělo být povolené.	Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu.	AuditIfNotExists, zakázáno	2.0.0
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.	Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure.	AuditIfNotExists, zakázáno	1.0.1
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.	Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	1.0.3
Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center.	Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center.	Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v centru událostí by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v Logic Apps by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.1.0
Protokoly prostředků v Search by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.	Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol	AuditIfNotExists, zakázáno	1.0.1

Systémová a časová korelace záznamu auditu

ID: NIST SP 800-53 Rev. 5 AU-12 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem.	Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc	Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků.	Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	2.0.1
Auditování na SQL Serveru by mělo být povolené.	Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu.	AuditIfNotExists, zakázáno	2.0.0
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.	Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure.	AuditIfNotExists, zakázáno	1.0.1
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Kompilace záznamů auditu do systémového auditu	CMA_C1140 – Kompilace záznamů auditu do celého systému auditu	Ručně, zakázáno	1.1.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.	Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	1.0.3
Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center.	Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center.	Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v centru událostí by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v Logic Apps by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.1.0
Protokoly prostředků v Search by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.	Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol	AuditIfNotExists, zakázáno	1.0.1

Změny autorizovanými jednotlivci

ID: NIST SP 800-53 Rev. 5 AU-12 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem	CMA_C1141 – Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem	Ručně, zakázáno	1.1.0

Posouzení, autorizace a monitorování

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 CA-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola zásad a postupů posouzení zabezpečení a autorizace	CMA_C1143 – Kontrola zásad a postupů a zásad autorizace zabezpečení	Ručně, zakázáno	1.1.0

Posouzení kontrol

ID: NIST SP 800-53 Rev. 5 CA-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení bezpečnostních prvků	CMA_C1145 – posouzení bezpečnostních prvků	Ručně, zakázáno	1.1.0
Doručování výsledků posouzení zabezpečení	CMA_C1147 – Poskytování výsledků posouzení zabezpečení	Ručně, zakázáno	1.1.0
Vývoj plánu posouzení zabezpečení	CMA_C1144 – Vývoj plánu posouzení zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření sestavy posouzení zabezpečení	CMA_C1146 – Vytvoření sestavy posouzení zabezpečení	Ručně, zakázáno	1.1.0

Nezávislí hodnotitelé

ID: NIST SP 800-53 Rev. 5 CA-2 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení	CMA_C1148 – zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení	Ručně, zakázáno	1.1.0

Specializovaná hodnocení

ID: NIST SP 800-53 Rev. 5 CA-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Výběr dalšího testování pro posouzení kontroly zabezpečení	CMA_C1149 – Výběr dalšího testování pro posouzení kontroly zabezpečení	Ručně, zakázáno	1.1.0

Využití výsledků z externích organizací

ID: NIST SP 800-53 Rev. 5 CA-2 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přijetí výsledků posouzení	CMA_C1150 – Přijetí výsledků posouzení	Ručně, zakázáno	1.1.0

Information Exchange

ID: NIST SP 800-53 Rev. 5 CA-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyžadování smluv o zabezpečení propojení	CMA_C1151 – Vyžadovat dohody o zabezpečení propojení	Ručně, zakázáno	1.1.0
Aktualizace smluv o zabezpečení propojení	CMA_0519 – aktualizace dohod o zabezpečení propojení	Ručně, zakázáno	1.1.0

Plán akcí a milníků

ID: NIST SP 800-53 Rev. 5 CA-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj POA&M	CMA_C1156 – Vývoj POA&M	Ručně, zakázáno	1.1.0
Aktualizace položek POA&M	CMA_C1157 – Aktualizace položek POA&M	Ručně, zakázáno	1.1.0

Autorizace

ID: NIST SP 800-53 Rev. 5 CA-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přiřazení autorizačního úřadu (AO)	CMA_C1158 – přiřazení autorizačního úřadu (AO)	Ručně, zakázáno	1.1.0
Ujistěte se, že jsou prostředky autorizované.	CMA_C1159 – Ujistěte se, že jsou prostředky autorizované.	Ručně, zakázáno	1.1.0
Aktualizace autorizace zabezpečení	CMA_C1160 – aktualizace autorizace zabezpečení	Ručně, zakázáno	1.1.0

Průběžné monitorování

ID: NIST SP 800-53 Rev. 5 CA-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace seznamu povolených zjišťování	CMA_0068 – Konfigurace seznamu povolených zjišťování	Ručně, zakázáno	1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů	CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů	Ručně, zakázáno	1.1.0
Projít nezávislou kontrolou zabezpečení	CMA_0515 – Projděte si nezávislou kontrolu zabezpečení	Ručně, zakázáno	1.1.0

Nezávislé posouzení

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Využití nezávislých vyhodnocovačů pro průběžné monitorování	CMA_C1168 – zaměstnat nezávislé hodnotitelé pro průběžné monitorování	Ručně, zakázáno	1.1.0

Analýzy trendů

ID: NIST SP 800-53 Rev. 5 CA-7 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Analýza dat získaných z průběžného monitorování	CMA_C1169 – Analýza dat získaných z průběžného monitorování	Ručně, zakázáno	1.1.0

Nezávislý agent pro penetrační testování nebo tým

ID: NIST SP 800-53 Rev. 5 CA-8 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Využití nezávislého týmu pro penetrační testování	CMA_C1171 – zaměstnat nezávislý tým pro penetrační testování	Ručně, zakázáno	1.1.0

Interní systémové Připojení iony

ID: NIST SP 800-53 Rev. 5 CA-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení.	CMA_0053 – Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení.	Ručně, zakázáno	1.1.0

Správa konfigurace

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 CM-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů správy konfigurace	CMA_C1175 – Kontrola a aktualizace zásad a postupů správy konfigurace	Ručně, zakázáno	1.1.0

Standardní konfigurace

ID: NIST SP 800-53 Rev. 5 CM-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace akcí pro zařízení nedodržující předpisy	CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy	Ručně, zakázáno	1.1.0
Vývoj a údržba standardních konfigurací	CMA_0153 – Vývoj a údržba standardních konfigurací	Ručně, zakázáno	1.1.0
Vynucení nastavení konfigurace zabezpečení	CMA_0249 – Vynucení nastavení konfigurace zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření řídicí desky konfigurace	CMA_0254 – Vytvoření řídicí desky konfigurace	Ručně, zakázáno	1.1.0
Vytvoření a zdokumentování plánu správy konfigurace	CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace	Ručně, zakázáno	1.1.0
Implementace automatizovaného nástroje pro správu konfigurace	CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace	Ručně, zakázáno	1.1.0

Podpora automatizace pro přesnost a měnu

ID: NIST SP 800-53 Rev. 5 CM-2 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace akcí pro zařízení nedodržující předpisy	CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy	Ručně, zakázáno	1.1.0
Vývoj a údržba standardních konfigurací	CMA_0153 – Vývoj a údržba standardních konfigurací	Ručně, zakázáno	1.1.0
Vynucení nastavení konfigurace zabezpečení	CMA_0249 – Vynucení nastavení konfigurace zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření řídicí desky konfigurace	CMA_0254 – Vytvoření řídicí desky konfigurace	Ručně, zakázáno	1.1.0
Vytvoření a zdokumentování plánu správy konfigurace	CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace	Ručně, zakázáno	1.1.0
Implementace automatizovaného nástroje pro správu konfigurace	CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace	Ručně, zakázáno	1.1.0

Uchovávání předchozích konfigurací

ID: NIST SP 800-53 Rev. 5 CM-2 (3) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zachování předchozích verzí standardních konfigurací	CMA_C1181 – Zachování předchozích verzí standardních konfigurací	Ručně, zakázáno	1.1.0

Konfigurace systémů a komponent pro vysoce rizikové oblasti

ID: NIST SP 800-53 Rev. 5 CM-2 (7) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí	CMA_C1183 – zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí	Ručně, zakázáno	1.1.0
Neumožňuje, aby informační systémy doprovázely jednotlivce	CMA_C1182 – nepovoluje, aby informační systémy doprovázely jednotlivce	Ručně, zakázáno	1.1.0

Řízení změn konfigurace

ID: NIST SP 800-53 Rev. 5 CM-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Analýza dopadu na zabezpečení	CMA_0057 – Provedení analýzy dopadu na zabezpečení	Ručně, zakázáno	1.1.0
Vývoj a údržba standardu správa ohrožení zabezpečení	CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření strategie řízení rizik	CMA_0258 – Vytvoření strategie řízení rizik	Ručně, zakázáno	1.1.0
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Posouzení dopadu ochrany osobních údajů	CMA_0387 – provedení posouzení dopadu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Provedení posouzení rizik	CMA_0388 – provedení posouzení rizik	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0

Automatizovaná dokumentace, oznámení a zákaz změn

ID: NIST SP 800-53 Rev. 5 CM-3 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace žádosti o schválení pro navrhované změny	CMA_C1192 – Automatizace žádosti o schválení navrhovaných změn	Ručně, zakázáno	1.1.0
Automatizace implementace schválených oznámení o změnách	CMA_C1196 – Automatizace implementace schválených oznámení o změnách	Ručně, zakázáno	1.1.0
Automatizace procesu do dokumentu implementovaných změn	CMA_C1195 – Automatizace procesu pro dokumentaci implementovaných změn	Ručně, zakázáno	1.1.0
Automatizace procesu zvýrazňování nerevidovaných návrhů změn	CMA_C1193 – Automatizace procesu zvýrazňování nerevidovaných návrhů změn	Ručně, zakázáno	1.1.0
Automatizace procesu, který zakáže implementaci neschválené změny	CMA_C1194 – Automatizace procesu, který zakáže implementaci neschválené změny	Ručně, zakázáno	1.1.0
Automatizace navrhovaných dokumentovaných změn	CMA_C1191 – Automatizace navrhovaných dokumentovaných změn	Ručně, zakázáno	1.1.0

Testování, ověřování a dokumentace změn

ID: NIST SP 800-53 Rev. 5 CM-3 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0

Zástupci zabezpečení a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 CM-3 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přiřazení zástupce pro zabezpečení informací pro změnu řízení	CMA_C1198 – přiřazení zástupce pro zabezpečení informací ke změně řízení	Ručně, zakázáno	1.1.0

Správa kryptografie

ID: NIST SP 800-53 Rev. 5 CM-3 (6) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace.	CMA_C1199 – Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace.	Ručně, zakázáno	1.1.0

Analýzy dopadu

ID: NIST SP 800-53 Rev. 5 CM-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Analýza dopadu na zabezpečení	CMA_0057 – Provedení analýzy dopadu na zabezpečení	Ručně, zakázáno	1.1.0
Vývoj a údržba standardu správa ohrožení zabezpečení	CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření strategie řízení rizik	CMA_0258 – Vytvoření strategie řízení rizik	Ručně, zakázáno	1.1.0
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Posouzení dopadu ochrany osobních údajů	CMA_0387 – provedení posouzení dopadu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Provedení posouzení rizik	CMA_0388 – provedení posouzení rizik	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0

Samostatná testovací prostředí

ID: NIST SP 800-53 Rev. 5 CM-4 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Analýza dopadu na zabezpečení	CMA_0057 – Provedení analýzy dopadu na zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Posouzení dopadu ochrany osobních údajů	CMA_0387 – provedení posouzení dopadu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0

Omezení přístupu pro změnu

ID: NIST SP 800-53 Rev. 5 CM-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0

Automatizované vynucování přístupu a záznamy auditu

ID: NIST SP 800-53 Rev. 5 CM-5 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení a audit omezení přístupu	CMA_C1203 – Vynucení a audit omezení přístupu	Ručně, zakázáno	1.1.0

Omezení oprávnění pro produkční a provozní prostředí

ID: NIST SP 800-53 Rev. 5 CM-5 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Omezení oprávnění k provádění změn v produkčním prostředí	CMA_C1206 – Omezení oprávnění k provádění změn v produkčním prostředí	Ručně, zakázáno	1.1.0
Kontrola a opětovné posouzení oprávnění	CMA_C1207 – Kontrola a opětovné posouzení oprávnění	Ručně, zakázáno	1.1.0

Konfigurační Nastavení

ID: NIST SP 800-53 Rev. 5 CM-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).	Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty.	Audit, zakázáno	3.1.0 zastaralé
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).	Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1.	AuditIfNotExists, zakázáno	1.0.0
Aplikace app Service by měly mít vypnuté vzdálené ladění	Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím.	Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách.	AuditIfNotExists, zakázáno	2.0.0
Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech.	Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření.	Audit, zakázáno	1.0.2
Vynucení nastavení konfigurace zabezpečení	CMA_0249 – Vynucení nastavení konfigurace zabezpečení	Ručně, zakázáno	1.1.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění.	Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté.	AuditIfNotExists, zakázáno	2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím.	Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách.	AuditIfNotExists, zakázáno	2.0.0
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení.	Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	9.2.0
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele	Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	5.1.0
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor.	Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.1.1
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce.	Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.1.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené image.	Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	9.2.0
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení.	Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.2.0
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům.	Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.1.1
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin.	Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.1.1
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů.	Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	6.1.0
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech.	Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	8.1.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery.	Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	9.1.0
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru.	Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	7.1.0
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure.	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure.	AuditIfNotExists, zakázáno	2.2.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure.	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure.	AuditIfNotExists, zakázáno	2.0.0

Automatizovaná správa, aplikace a ověřování

ID: NIST SP 800-53 Rev. 5 CM-6 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení nastavení konfigurace zabezpečení	CMA_0249 – Vynucení nastavení konfigurace zabezpečení	Ručně, zakázáno	1.1.0
Řízení dodržování předpisů poskytovatelů cloudových služeb	CMA_0290 – Řízení dodržování předpisů poskytovatelů cloudových služeb	Ručně, zakázáno	1.1.0
Zobrazení a konfigurace diagnostických dat systému	CMA_0544 – Zobrazení a konfigurace diagnostických dat systému	Ručně, zakázáno	1.1.0

Nejnižší funkčnost

ID: NIST SP 800-53 Rev. 5 CM-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.	Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací.	AuditIfNotExists, zakázáno	3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.	Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.	AuditIfNotExists, zakázáno	3.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3

Zabránit spuštění programu

ID: NIST SP 800-53 Rev. 5 CM-7 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.	Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací.	AuditIfNotExists, zakázáno	3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.	Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.	AuditIfNotExists, zakázáno	3.0.0

??? autorizovaného softwaru Povolit po výjimce

ID: NIST SP 800-53 Rev. 5 CM-7 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.	Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací.	AuditIfNotExists, zakázáno	3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.	Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.	AuditIfNotExists, zakázáno	3.0.0

Inventář systémových komponent

ID: NIST SP 800-53 Rev. 5 CM-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření inventáře dat	CMA_0096 – Vytvoření inventáře dat	Ručně, zakázáno	1.1.0
Udržovat záznamy o zpracování osobních údajů	CMA_0353 - Udržování záznamů o zpracování osobních údajů	Ručně, zakázáno	1.1.0

Aktualizace během instalace a odebrání

ID: NIST SP 800-53 Rev. 5 CM-8 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření inventáře dat	CMA_0096 – Vytvoření inventáře dat	Ručně, zakázáno	1.1.0
Udržovat záznamy o zpracování osobních údajů	CMA_0353 - Udržování záznamů o zpracování osobních údajů	Ručně, zakázáno	1.1.0

Automatizovaná detekce neautorizovaných komponent

ID: NIST SP 800-53 Rev. 5 CM-8 (3) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Povolení detekce síťových zařízení	CMA_0220 – Povolení detekce síťových zařízení	Ručně, zakázáno	1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	Ručně, zakázáno	1.1.0

Informace o odpovědnosti

ID: NIST SP 800-53 Rev. 5 CM-8 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření inventáře dat	CMA_0096 – Vytvoření inventáře dat	Ručně, zakázáno	1.1.0
Vytvoření a údržba inventáře aktiv	CMA_0266 – Vytvoření a údržba inventáře prostředků	Ručně, zakázáno	1.1.0

Plán správy konfigurace

ID: NIST SP 800-53 Rev. 5 CM-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření ochrany plánu konfigurace	CMA_C1233 – Vytvoření ochrany plánu konfigurace	Ručně, zakázáno	1.1.0
Vývoj a údržba standardních konfigurací	CMA_0153 – Vývoj a údržba standardních konfigurací	Ručně, zakázáno	1.1.0
Vývoj plánu identifikace položek konfigurace	CMA_C1231 – Vývoj identifikačního plánu položky konfigurace	Ručně, zakázáno	1.1.0
Vývoj plánu správy konfigurace	CMA_C1232 – Vývoj plánu správy konfigurace	Ručně, zakázáno	1.1.0
Vytvoření a zdokumentování plánu správy konfigurace	CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace	Ručně, zakázáno	1.1.0
Implementace automatizovaného nástroje pro správu konfigurace	CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace	Ručně, zakázáno	1.1.0

Omezení využití softwaru

ID: NIST SP 800-53 Rev. 5 CM-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.	Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací.	AuditIfNotExists, zakázáno	3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.	Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.	AuditIfNotExists, zakázáno	3.0.0
Vyžadovat dodržování práv duševního vlastnictví	CMA_0432 – Vyžadování dodržování práv duševního vlastnictví	Ručně, zakázáno	1.1.0
Sledování využití softwarových licencí	CMA_C1235 – Sledování využití softwarových licencí	Ručně, zakázáno	1.1.0

Opensourcový software

ID: NIST SP 800-53 Rev. 5 CM-10 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Omezení používání opensourcového softwaru	CMA_C1237 – Omezení používání opensourcového softwaru	Ručně, zakázáno	1.1.0

Software nainstalovaný uživatelem

ID: NIST SP 800-53 Rev. 5 CM-11 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.	Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací.	AuditIfNotExists, zakázáno	3.0.0
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.	Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.	AuditIfNotExists, zakázáno	3.0.0

Plánování nepředvídaných událostí

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 CP-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí	CMA_C1243 – kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí	Ručně, zakázáno	1.1.0

Plán nepředvídaných událostí

ID: NIST SP 800-53 Rev. 5 CP-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Komunikujte o změnách plánu nepředvídaných událostí	CMA_C1249 – komunikujte o změnách plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii	CMA_0146 – Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Vývoj zásad a postupů plánování nepředvídaných událostí	CMA_0156 – vývoj zásad a postupů plánování nepředvídaných událostí	Ručně, zakázáno	1.1.0
Distribuce zásad a postupů	CMA_0185 – Distribuce zásad a postupů	Ručně, zakázáno	1.1.0
Kontrola plánu nepředvídaných událostí	CMA_C1247 – kontrola plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Aktualizace plánu nepředvídaných událostí	CMA_C1248 – aktualizace plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 CP-2 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0

Plánování kapacit

ID: NIST SP 800-53 Rev. 5 CP-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Plánování kapacity	CMA_C1252 – Plánování kapacity	Ručně, zakázáno	1.1.0

Resume Mission and Business Functions

ID: NIST SP 800-53 Rev. 5 CP-2 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Plánování obnovení základních obchodních funkcí	CMA_C1253 – plán obnovení základních obchodních funkcí	Ručně, zakázáno	1.1.0

Pokračovat v poslání a obchodních funkcích

ID: NIST SP 800-53 Rev. 5 CP-2 (5) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Plánování kontinuance základních obchodních funkcí	CMA_C1255 – plánování kontinuance základních obchodních funkcí	Ručně, zakázáno	1.1.0

Identifikace kritických prostředků

ID: NIST SP 800-53 Rev. 5 CP-2 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení obchodních dopadů a posouzení závažnosti aplikací	CMA_0386 – Provedení posouzení obchodních dopadů a posouzení závažnosti aplikací	Ručně, zakázáno	1.1.0

Nepředvídané školení

ID: NIST SP 800-53 Rev. 5 CP-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění nepředvídaného školení	CMA_0412 – poskytování nepředvídaných školení	Ručně, zakázáno	1.1.0

Simulované události

ID: NIST SP 800-53 Rev. 5 CP-3 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Začlenění simulovaného nepředvídaného trénování	CMA_C1260 – začlenění simulovaného nepředvídaného trénování	Ručně, zakázáno	1.1.0

Testování plánu nepředvídaných událostí

ID: NIST SP 800-53 Rev. 5 CP-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zahájení nápravných akcí pro testování plánu nepředvídaných událostí	CMA_C1263 – Zahájení nápravných akcí pro testování nepředvídaných plánů	Ručně, zakázáno	1.1.0
Kontrola výsledků testování plánu nepředvídaných událostí	CMA_C1262 – kontrola výsledků testování nepředvídaných plánů	Ručně, zakázáno	1.1.0
Testování plánu provozní kontinuity a zotavení po havárii	CMA_0509 – Testování plánu provozní kontinuity a zotavení po havárii	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 CP-4 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0

Web pro alternativní zpracování

ID: NIST SP 800-53 Rev. 5 CP-4 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyhodnocení možností webu pro alternativní zpracování	CMA_C1266 – Vyhodnocení možností webu alternativního zpracování	Ručně, zakázáno	1.1.0
Testování plánu nepředvídaných událostí v alternativním umístění zpracování	CMA_C1265 – Testovací plán nepředvídaných událostí v alternativním umístění zpracování	Ručně, zakázáno	1.1.0

Alternativní web úložiště

ID: NIST SP 800-53 Rev. 5 CP-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ujistěte se, že ochrana lokality alternativního úložiště odpovídá primární lokalitě.	CMA_C1268 – Zajištění ochrany lokality alternativního úložiště odpovídá primární lokalitě	Ručně, zakázáno	1.1.0
Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování	CMA_C1267 – Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování	Ručně, zakázáno	1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování.	Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.	Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování.	Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště.	Použití geografické redundance k vytváření vysoce dostupných aplikací	Audit, zakázáno	1.0.0
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování.	Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené.	AuditIfNotExists, zakázáno	2.0.0

Oddělení od primární lokality

ID: NIST SP 800-53 Rev. 5 CP-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření samostatných alternativních a primárních lokalit úložiště	CMA_C1269 – Vytvoření samostatných alternativních a primárních lokalit úložiště	Ručně, zakázáno	1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování.	Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.	Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování.	Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště.	Použití geografické redundance k vytváření vysoce dostupných aplikací	Audit, zakázáno	1.0.0
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování.	Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené.	AuditIfNotExists, zakázáno	2.0.0

Plánovaná doba obnovení a cíl bodu obnovení

ID: NIST SP 800-53 Rev. 5 CP-6 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení	CMA_C1270 – Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení	Ručně, zakázáno	1.1.0

Usnadnění

ID: NIST SP 800-53 Rev. 5 CP-6 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště	CMA_C1271 – Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště	Ručně, zakázáno	1.1.0

Web pro alternativní zpracování

ID: NIST SP 800-53 Rev. 5 CP-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii	Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Vytvoření lokality pro alternativní zpracování	CMA_0262 – Vytvoření lokality pro alternativní zpracování	Ručně, zakázáno	1.1.0

Oddělení od primární lokality

ID: NIST SP 800-53 Rev. 5 CP-7 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření lokality pro alternativní zpracování	CMA_0262 – Vytvoření lokality pro alternativní zpracování	Ručně, zakázáno	1.1.0

Usnadnění

ID: NIST SP 800-53 Rev. 5 CP-7 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření lokality pro alternativní zpracování	CMA_0262 – Vytvoření lokality pro alternativní zpracování	Ručně, zakázáno	1.1.0

Priorita služby

ID: NIST SP 800-53 Rev. 5 CP-7 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření lokality pro alternativní zpracování	CMA_0262 – Vytvoření lokality pro alternativní zpracování	Ručně, zakázáno	1.1.0
Stanovení požadavků pro poskytovatele internetových služeb	CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb	Ručně, zakázáno	1.1.0

Příprava na použití

ID: NIST SP 800-53 Rev. 5 CP-7 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Příprava lokality pro alternativní zpracování pro použití jako provozní lokality	CMA_C1278 – Příprava lokality pro alternativní zpracování pro použití jako provozní lokalita	Ručně, zakázáno	1.1.0

Priorita ustanovení služeb

ID: NIST SP 800-53 Rev. 5 CP-8 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Stanovení požadavků pro poskytovatele internetových služeb	CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb	Ručně, zakázáno	1.1.0

Zálohování systému

ID: NIST SP 800-53 Rev. 5 CP-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro virtuální počítače by měla být povolená služba Azure Backup.	Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure.	AuditIfNotExists, zakázáno	3.0.0
Zálohování dokumentace k informačnímu systému	CMA_C1289 – Zálohování dokumentace k informačnímu systému	Ručně, zakázáno	1.1.0
Vytvoření zásad a postupů zálohování	CMA_0268 – Vytvoření zásad a postupů zálohování	Ručně, zakázáno	1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování.	Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.	Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování.	Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru.	Audit, zakázáno	1.0.1
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Trezory klíčů by měly mít povolenou ochranu před odstraněním.	Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění.	Audit, Odepřít, Zakázáno	2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění.	Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání.	Audit, Odepřít, Zakázáno	3.0.0

Samostatné úložiště pro důležité informace

ID: NIST SP 800-53 Rev. 5 CP-9 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Samostatně ukládat informace o zálohování	CMA_C1293 – Samostatně ukládat informace o zálohování	Ručně, zakázáno	1.1.0

Přenos do alternativní lokality úložiště

ID: NIST SP 800-53 Rev. 5 CP-9 (5) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přenos informací o zálohování do alternativní lokality úložiště	CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště	Ručně, zakázáno	1.1.0

Obnovení a rekonstituce systému

ID: NIST SP 800-53 Rev. 5 CP-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Obnovení a rekonstituce prostředků po přerušení	CMA_C1295 – obnovení a rekonstituce prostředků po přerušení	Ručně, zakázáno	1.1.1

Obnovení transakcí

ID: NIST SP 800-53 Rev. 5 CP-10 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace obnovení založeného na transakcích	CMA_C1296 – Implementace obnovení založeného na transakcích	Ručně, zakázáno	1.1.0

Obnovení během časového období

ID: NIST SP 800-53 Rev. 5 CP-10 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Obnovení prostředků do provozního stavu	CMA_C1297 – Obnovení prostředků do provozního stavu	Ručně, zakázáno	1.1.1

Identifikace a ověřování

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 IA-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů identifikace a ověřování	CMA_C1299 – Kontrola a aktualizace zásad a postupů identifikace a ověřování	Ručně, zakázáno	1.1.0

Identifikace a ověřování (uživatelé organizace)

ID: NIST SP 800-53 Rev. 5 IA-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Aplikace App Service by měly používat spravovanou identitu.	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Vynucení jedinečnosti uživatele	CMA_0250 – vynucování jedinečnosti uživatele	Ručně, zakázáno	1.1.0
Aplikace funkcí by měly používat spravovanou identitu	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0
Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány	CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány	Ručně, zakázáno	1.1.0

Vícefaktorové ověřování na privilegované účty

ID: NIST SP 800-53 Rev. 5 IA-2 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Přijetí biometrických mechanismů ověřování	CMA_0005 – přijetí biometrických mechanismů ověřování	Ručně, zakázáno	1.1.0

Vícefaktorové ověřování k neprivilegovaným účtům

ID: NIST SP 800-53 Rev. 5 IA-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Přijetí biometrických mechanismů ověřování	CMA_0005 – přijetí biometrických mechanismů ověřování	Ručně, zakázáno	1.1.0

Individuální ověřování pomocí skupinového ověřování

ID: NIST SP 800-53 Rev. 5 IA-2 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyžadování použití jednotlivých ověřovacích prostředků	CMA_C1305 – Vyžadování použití jednotlivých ověřovacích prostředků	Ručně, zakázáno	1.1.0

Přijetí přihlašovacích údajů PIV

ID: NIST SP 800-53 Rev. 5 IA-2 (12) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány	CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány	Ručně, zakázáno	1.1.0

Správa identifikátorů

ID: NIST SP 800-53 Rev. 5 IA-4 Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery.	Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft	AuditIfNotExists, zakázáno	1.0.0
Aplikace App Service by měly používat spravovanou identitu.	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Přiřazení systémových identifikátorů	CMA_0018 – Přiřazení systémových identifikátorů	Ručně, zakázáno	1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování).	Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth	Audit, Odepřít, Zakázáno	1.1.0
Aplikace funkcí by měly používat spravovanou identitu	Použití spravované identity pro rozšířené zabezpečení ověřování	AuditIfNotExists, zakázáno	3.0.0
Zabránění opakovanému použití identifikátoru pro definované časové období	CMA_C1314 – Zabránění opakovanému použití identifikátoru pro definované časové období	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.	Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric	Audit, Odepřít, Zakázáno	1.1.0

Identifikace stavu uživatele

ID: NIST SP 800-53 Rev. 5 IA-4 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace stavu jednotlivých uživatelů	CMA_C1316 – identifikace stavu jednotlivých uživatelů	Ručně, zakázáno	1.1.0

Správa authenticatoru

ID: NIST SP 800-53 Rev. 5 IA-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644	AuditIfNotExists, zakázáno	3.1.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování	AuditIfNotExists, zakázáno	2.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.	I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, zakázáno	3.2.0
Certifikáty by měly mít zadanou maximální dobu platnosti.	Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	2.2.1
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Vytvoření typů a procesů authenticatoru	CMA_0267 – Vytvoření typů a procesů ověřování	Ručně, zakázáno	1.1.0
Vytvoření postupů pro počáteční distribuci ověřovacího objektu	CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu	Ručně, zakázáno	1.1.0
Implementace trénování pro ochranu ověřovacích modulů	CMA_0329 – Implementace trénování pro ochranu ověřovacích metod	Ručně, zakázáno	1.1.0
Klíče služby Key Vault by měly mít datum vypršení platnosti.	Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení.	Audit, Odepřít, Zakázáno	1.0.2
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti.	Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů.	Audit, Odepřít, Zakázáno	1.0.2
Správa doby života a opakovaného použití authenticatoru	CMA_0355 – Správa doby života a opakovaného použití ověřovacího programu	Ručně, zakázáno	1.1.0
Správa authenticátorů	CMA_C1321 – Správa ověřovacích modulů	Ručně, zakázáno	1.1.0
Aktualizace ověřovacích modulů	CMA_0425 – aktualizace ověřovacích modulů	Ručně, zakázáno	1.1.0
Reissue authenticators for changed groups and accounts	CMA_0426 – reissue authenticátory pro změněné skupiny a účty	Ručně, zakázáno	1.1.0
Ověření identity před distribucí ověřovacích modulů	CMA_0538 – Ověření identity před distribucí ověřovacích modulů	Ručně, zakázáno	1.1.0

Ověřování založené na heslech

ID: NIST SP 800-53 Rev. 5 IA-5 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644	AuditIfNotExists, zakázáno	3.1.0
Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel.	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24	AuditIfNotExists, zakázáno	2.1.0
Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů.	AuditIfNotExists, zakázáno	2.1.0
Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den.	AuditIfNotExists, zakázáno	2.1.0
Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla	AuditIfNotExists, zakázáno	2.0.0
Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků.	AuditIfNotExists, zakázáno	2.1.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování	AuditIfNotExists, zakázáno	2.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách	CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Vytvoření zásady hesel	CMA_0256 – Vytvoření zásad hesel	Ručně, zakázáno	1.1.0
Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0

Ověřování na základě veřejného klíče

ID: NIST SP 800-53 Rev. 5 IA-5 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Dynamické vazby ověřovacích a identit	CMA_0035 – dynamické vazby ověřovacích a identit	Ručně, zakázáno	1.1.0
Vytvoření typů a procesů authenticatoru	CMA_0267 – Vytvoření typů a procesů ověřování	Ručně, zakázáno	1.1.0
Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů	CMA_0274 – Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů	Ručně, zakázáno	1.1.0
Vytvoření postupů pro počáteční distribuci ověřovacího objektu	CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu	Ručně, zakázáno	1.1.0
Mapování ověřených identit na jednotlivce	CMA_0372 – mapování ověřených identit na jednotlivce	Ručně, zakázáno	1.1.0
Omezení přístupu k privátním klíčům	CMA_0445 – Omezení přístupu k privátním klíčům	Ručně, zakázáno	1.1.0
Ověření identity před distribucí ověřovacích modulů	CMA_0538 – Ověření identity před distribucí ověřovacích modulů	Ručně, zakázáno	1.1.0

Ochrana ověřovacích modulů

ID: NIST SP 800-53 Rev. 5 IA-5 (6) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ujistěte se, že autorizovaní uživatelé chrání poskytnuté ověřovací objekty.	CMA_C1339 – zajistěte, aby autorizovaní uživatelé chránili poskytnuté ověřovací objekty.	Ručně, zakázáno	1.1.0

Žádné vložené nešifrované statické ověřovací objekty

ID: NIST SP 800-53 Rev. 5 IA-5 (7) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty.	CMA_C1340 – Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty.	Ručně, zakázáno	1.1.0

Vypršení platnosti ověřovacích rutin uložených v mezipaměti

ID: NIST SP 800-53 Rev. 5 IA-5 (13) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti	CMA_C1343 – Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti	Ručně, zakázáno	1.1.0

Zpětná vazba k ověřování

ID: NIST SP 800-53 Rev. 5 IA-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Skrytí informací o zpětné vazbě během procesu ověřování	CMA_C1344 – Skrytí informací o zpětné vazbě během procesu ověřování	Ručně, zakázáno	1.1.0

Ověřování kryptografických modulů

ID: NIST SP 800-53 Rev. 5 IA-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověřování v kryptografickém modulu	CMA_0021 – Ověřování v kryptografickém modulu	Ručně, zakázáno	1.1.0

Identifikace a ověřování (uživatelé mimo organizaci)

ID: NIST SP 800-53 Rev. 5 IA-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace a ověřování uživatelů mimo organizaci	CMA_C1346 – Identifikace a ověřování uživatelů mimo organizaci	Ručně, zakázáno	1.1.0

Přijetí přihlašovacích údajů PIV od jiných agentur

ID: NIST SP 800-53 Rev. 5 IA-8 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přijetí přihlašovacích údajů PIV	CMA_C1347 – Přijetí přihlašovacích údajů PIV	Ručně, zakázáno	1.1.0

Přijetí externích ověřovacích prostředků

ID: NIST SP 800-53 Rev. 5 IA-8 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přijmout pouze přihlašovací údaje schválené pro FICAM třetí strany	CMA_C1348 – Přijmout pouze přihlašovací údaje schválené třetí stranou FICAM	Ručně, zakázáno	1.1.0

Použití definovaných profilů

ID: NIST SP 800-53 Rev. 5 IA-8 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyhovuje profilům vystaveným ficam	CMA_C1350 – Odpovídá profilům vystaveným ficam	Ručně, zakázáno	1.1.0

Reakce na incident

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 IR-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů reakce na incidenty	CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty	Ručně, zakázáno	1.1.0

Školení k reakcím na incidenty

ID: NIST SP 800-53 Rev. 5 IR-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytnutí školení k přelití informací	CMA_0413 – poskytnutí školení k přelití informací	Ručně, zakázáno	1.1.0

Simulované události

ID: NIST SP 800-53 Rev. 5 IR-2 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Začlenění simulovaných událostí do trénování reakce na incidenty	CMA_C1356 – Začlenění simulovaných událostí do trénování reakce na incidenty	Ručně, zakázáno	1.1.0

Automatizovaná trénovací prostředí

ID: NIST SP 800-53 Rev. 5 IR-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Využití automatizovaného trénovacího prostředí	CMA_C1357 – Využití automatizovaného trénovacího prostředí	Ručně, zakázáno	1.1.0

Testování reakcí na incidenty

ID: NIST SP 800-53 Rev. 5 IR-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Testování reakce na incidenty	CMA_0060 – Provedení testování reakcí na incidenty	Ručně, zakázáno	1.1.0
Vytvoření programu zabezpečení informací	CMA_0263 – Vytvoření programu zabezpečení informací	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 IR-3 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Testování reakce na incidenty	CMA_0060 – Provedení testování reakcí na incidenty	Ručně, zakázáno	1.1.0
Vytvoření programu zabezpečení informací	CMA_0263 – Vytvoření programu zabezpečení informací	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0

Zpracování incidentů

ID: NIST SP 800-53 Rev. 5 IR-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení událostí zabezpečení informací	CMA_0013 – Posouzení událostí zabezpečení informací	Ručně, zakázáno	1.1.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Vývoj bezpečnostních opatření	CMA_0161 – Vývoj bezpečnostních opatření	Ručně, zakázáno	1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.	Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	1.0.1
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.	Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	2.0.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Údržba plánu reakce na incidenty	CMA_0352 – Údržba plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením	Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center.	AuditIfNotExists, zakázáno	1.0.1
Zobrazení a prošetření omezených uživatelů	CMA_0545 – Zobrazení a prošetření omezených uživatelů	Ručně, zakázáno	1.1.0

Automatizované procesy zpracování incidentů

ID: NIST SP 800-53 Rev. 5 IR-4 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0

Dynamická rekonfigurace

ID: NIST SP 800-53 Rev. 5 IR-4 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem	CMA_C1364 – Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem	Ručně, zakázáno	1.1.0

Kontinuita provozu

ID: NIST SP 800-53 Rev. 5 IR-4 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace tříd incidentů a provedených akcí	CMA_C1365 – identifikace tříd incidentů a provedených akcí	Ručně, zakázáno	1.1.0

Korelace informací

ID: NIST SP 800-53 Rev. 5 IR-4 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0

Vnitřní hrozby

ID: NIST SP 800-53 Rev. 5 IR-4 (6) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace funkce zpracování incidentů	CMA_C1367 – Implementace funkce zpracování incidentů	Ručně, zakázáno	1.1.0

Korelace s externími organizacemi

ID: NIST SP 800-53 Rev. 5 IR-4 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi	CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi	Ručně, zakázáno	1.1.0

Monitorování incidentů

ID: NIST SP 800-53 Rev. 5 IR-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.	Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	1.0.1
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.	Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	2.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením	Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center.	AuditIfNotExists, zakázáno	1.0.1

Automatizované generování sestav

ID: NIST SP 800-53 Rev. 5 IR-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 IR-6 (2) Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.	Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	1.0.1
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.	Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	2.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením	Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center.	AuditIfNotExists, zakázáno	1.0.1

Pomoc s reakcí na incidenty

ID: NIST SP 800-53 Rev. 5 IR-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0

Podpora automatizace pro dostupnost informací a podpory

ID: NIST SP 800-53 Rev. 5 IR-7 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Zobrazení a prošetření omezených uživatelů	CMA_0545 – Zobrazení a prošetření omezených uživatelů	Ručně, zakázáno	1.1.0

Koordinace s externími poskytovateli

ID: NIST SP 800-53 Rev. 5 IR-7 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	CMA_C1376 – Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	Ručně, zakázáno	1.1.0
Identifikace pracovníků reakce na incidenty	CMA_0301 – Identifikace pracovníků reakce na incidenty	Ručně, zakázáno	1.1.0

Plán reakcí na incidenty

ID: NIST SP 800-53 Rev. 5 IR-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení událostí zabezpečení informací	CMA_0013 – Posouzení událostí zabezpečení informací	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Udržování záznamů o porušení zabezpečení dat	CMA_0351 – Udržování záznamů o porušení zabezpečení dat	Ručně, zakázáno	1.1.0
Údržba plánu reakce na incidenty	CMA_0352 – Údržba plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Ochrana plánu reakce na incidenty	CMA_0405 – Ochrana plánu reakce na incidenty	Ručně, zakázáno	1.1.0

Odpověď na přelití informací

ID: NIST SP 800-53 Rev. 5 IR-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pracovníci upozornění na přelití informací	CMA_0007 – pracovníci upozornění na únik informací	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Identifikace kontaminovaných systémů a součástí	CMA_0300 – identifikace kontaminovaných systémů a součástí	Ručně, zakázáno	1.1.0
Identifikace přelitých informací	CMA_0303 – Identifikace přelitých informací	Ručně, zakázáno	1.1.0
Izolace přelití informací	CMA_0346 – izolace přelití informací	Ručně, zakázáno	1.1.0

Školení

ID: NIST SP 800-53 Rev. 5 IR-9 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Poskytnutí školení k přelití informací	CMA_0413 – poskytnutí školení k přelití informací	Ručně, zakázáno	1.1.0

Operace po přelití

ID: NIST SP 800-53 Rev. 5 IR-9 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj postupů reakce na přelití	CMA_0162 – Vývoj postupů reakce na přelití	Ručně, zakázáno	1.1.0

Vystavení neoprávněným pracovníkům

ID: NIST SP 800-53 Rev. 5 IR-9 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj bezpečnostních opatření	CMA_0161 – Vývoj bezpečnostních opatření	Ručně, zakázáno	1.1.0

Údržba

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 MA-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů údržby systému	CMA_C1395 – Kontrola a aktualizace zásad a postupů údržby systému	Ručně, zakázáno	1.1.0

Řízená údržba

ID: NIST SP 800-53 Rev. 5 MA-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení aktivit údržby a oprav	CMA_0080 - Řízení činností údržby a oprav	Ručně, zakázáno	1.1.0
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Automatizované aktivity údržby

ID: NIST SP 800-53 Rev. 5 MA-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace aktivit vzdálené údržby	CMA_C1402 – Automatizace aktivit vzdálené údržby	Ručně, zakázáno	1.1.0
Vytváření kompletních záznamů aktivit vzdálené údržby	CMA_C1403 – Vytváření kompletních záznamů o aktivitách vzdálené údržby	Ručně, zakázáno	1.1.0

Nástroje údržby

ID: NIST SP 800-53 Rev. 5 MA-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení aktivit údržby a oprav	CMA_0080 - Řízení činností údržby a oprav	Ručně, zakázáno	1.1.0
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Kontrola nástrojů

ID: NIST SP 800-53 Rev. 5 MA-3 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení aktivit údržby a oprav	CMA_0080 - Řízení činností údržby a oprav	Ručně, zakázáno	1.1.0
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Kontrola média

ID: NIST SP 800-53 Rev. 5 MA-3 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení aktivit údržby a oprav	CMA_0080 - Řízení činností údržby a oprav	Ručně, zakázáno	1.1.0
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Zabránit neoprávněnému odebrání

ID: NIST SP 800-53 Rev. 5 MA-3 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení aktivit údržby a oprav	CMA_0080 - Řízení činností údržby a oprav	Ručně, zakázáno	1.1.0
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Nelokální údržba

ID: NIST SP 800-53 Rev. 5 MA-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Správa nelokálních aktivit údržby a diagnostiky	CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky	Ručně, zakázáno	1.1.0

Srovnatelné zabezpečení a sanitizace

ID: NIST SP 800-53 Rev. 5 MA-4 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provést veškerou nelokanou údržbu	CMA_C1417 – proveďte veškerou údržbu mimo místní	Ručně, zakázáno	1.1.0

Kryptografická ochrana

ID: NIST SP 800-53 Rev. 5 MA-4 (6) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace kryptografických mechanismů	CMA_C1419 – Implementace kryptografických mechanismů	Ručně, zakázáno	1.1.0

Pracovníci údržby

ID: NIST SP 800-53 Rev. 5 MA-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení pracovníků pro dohled nad neautorizovanými aktivitami údržby	CMA_C1422 – Určete pracovníky, kteří budou dohlížet na neautorizované činnosti údržby.	Ručně, zakázáno	1.1.0
Údržba seznamu autorizovaných pracovníků vzdálené údržby	CMA_C1420 – Údržba seznamu autorizovaných pracovníků vzdálené údržby	Ručně, zakázáno	1.1.0
Správa pracovníků údržby	CMA_C1421 – Správa pracovníků údržby	Ručně, zakázáno	1.1.0

Jednotlivci bez odpovídajícího přístupu

ID: NIST SP 800-53 Rev. 5 MA-5 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Včasná údržba

ID: NIST SP 800-53 Rev. 5 MA-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění včasné podpory údržby	CMA_C1425 – poskytování včasné podpory údržby	Ručně, zakázáno	1.1.0

Ochrana médií

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 MP-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů ochrany médií	CMA_C1427 – Kontrola a aktualizace zásad a postupů ochrany médií	Ručně, zakázáno	1.1.0

Přístup k médiím

ID: NIST SP 800-53 Rev. 5 MP-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Označení médií

ID: NIST SP 800-53 Rev. 5 MP-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Media Storage

ID: NIST SP 800-53 Rev. 5 MP-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Přenos médií

ID: NIST SP 800-53 Rev. 5 MP-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Správa přepravy aktiv	CMA_0370 – správa přepravy aktiv	Ručně, zakázáno	1.1.0

Sanitizace médií

ID: NIST SP 800-53 Rev. 5 MP-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Kontrola, schválení, sledování, dokument a ověření

ID: NIST SP 800-53 Rev. 5 MP-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Testování vybavení

ID: NIST SP 800-53 Rev. 5 MP-6 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití mechanismu sanitizace médií	CMA_0208 – použití mechanismu sanitizace médií	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0

Použití médií

ID: NIST SP 800-53 Rev. 5 MP-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	Ručně, zakázáno	1.1.0
Řízení používání přenosných úložných zařízení	CMA_0083 – řízení používání přenosných úložných zařízení	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Omezení používání médií	CMA_0450 – Omezení používání médií	Ručně, zakázáno	1.1.0

Fyzická ochrana a ochrana životního prostředí

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 PE-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace fyzických a environmentálních politik a postupů	CMA_C1446 – kontrola a aktualizace fyzických a environmentálních politik a postupů	Ručně, zakázáno	1.1.0

Autorizace fyzického přístupu

ID: NIST SP 800-53 Rev. 5 PE-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0

Fyzické řízení přístupu

ID: NIST SP 800-53 Rev. 5 PE-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Definování procesu správy fyzických klíčů	CMA_0115 – Definování procesu správy fyzických klíčů	Ručně, zakázáno	1.1.0
Vytvoření a údržba inventáře aktiv	CMA_0266 – Vytvoření a údržba inventáře prostředků	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Řízení přístupu pro přenos

ID: NIST SP 800-53 Rev. 5 PE-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Řízení přístupu pro výstupní zařízení

ID: NIST SP 800-53 Rev. 5 PE-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat	CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat	Ručně, zakázáno	1.1.0

Vniknutí alarmů a sledovacích zařízení

ID: NIST SP 800-53 Rev. 5 PE-6 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Instalace alarmového systému	CMA_0338 – Instalace alarmového systému	Ručně, zakázáno	1.1.0
Správa zabezpečeného systému kamerového dohledu	CMA_0354 – Správa zabezpečeného systému kamer s dohledem	Ručně, zakázáno	1.1.0

Záznamy o přístupu návštěvníka

ID: NIST SP 800-53 Rev. 5 PE-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Nouzové osvětlení

ID: NIST SP 800-53 Rev. 5 PE-12 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití automatického nouzového osvětlení	CMA_0209 – použití automatického nouzového osvětlení	Ručně, zakázáno	1.1.0

Ochrana proti požáru

ID: NIST SP 800-53 Rev. 5 PE-13 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

??? systémů detekce Automatická aktivace a oznámení

ID: NIST SP 800-53 Rev. 5 PE-13 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace metodologie penetračního testování	CMA_0306 – implementace metodologie penetračního testování	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0

??? systémů potlačení Automatická aktivace a oznámení

ID: NIST SP 800-53 Rev. 5 PE-13 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Řízení životního prostředí

ID: NIST SP 800-53 Rev. 5 PE-14 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Monitorování pomocí alarmů a oznámení

ID: NIST SP 800-53 Rev. 5 PE-14 (2) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0
Instalace alarmového systému	CMA_0338 – Instalace alarmového systému	Ručně, zakázáno	1.1.0

Ochrana proti poškození vody

ID: NIST SP 800-53 Rev. 5 PE-15 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Doručení a odebrání

ID: NIST SP 800-53 Rev. 5 PE-16 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování požadavků pro správu prostředků	CMA_0125 – Definování požadavků pro správu prostředků	Ručně, zakázáno	1.1.0
Správa přepravy aktiv	CMA_0370 – správa přepravy aktiv	Ručně, zakázáno	1.1.0

Alternativní pracovní web

ID: NIST SP 800-53 Rev. 5 PE-17 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	Ručně, zakázáno	1.1.0

Umístění systémových komponent

ID: NIST SP 800-53 Rev. 5 PE-18 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0

Plánování

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 PL-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů plánování	CMA_C1491 – Kontrola a aktualizace zásad a postupů plánování	Ručně, zakázáno	1.1.0

Plány zabezpečení systému a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 PL-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj a vytvoření plánu zabezpečení systému	CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému	Ručně, zakázáno	1.1.0
Vývoj zásad a postupů zabezpečení informací	CMA_0158 – Vývoj zásad a postupů zabezpečení informací	Ručně, zakázáno	1.1.0
Vývoj ZSP, který splňuje kritéria	CMA_C1492 – Vývoj ZSP, který splňuje kritéria	Ručně, zakázáno	1.1.0
Vytvoření programu ochrany osobních údajů	CMA_0257 – Vytvoření programu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení	CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení	Ručně, zakázáno	1.1.0
Implementace principů přípravy zabezpečení informačních systémů	CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů	Ručně, zakázáno	1.1.0

Pravidla chování

ID: NIST SP 800-53 Rev. 5 PL-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj přijatelných zásad a postupů použití	CMA_0143 – Vývoj přijatelných zásad a postupů použití	Ručně, zakázáno	1.1.0
Vývoj zásad chování organizace	CMA_0159 – Vývoj zásad chování organizace	Ručně, zakázáno	1.1.0
Zdokumentování přijetí požadavků na ochranu osobních údajů	CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky	Ručně, zakázáno	1.1.0
Vynucení pravidel chování a smluv o přístupu	CMA_0248 – vynucování pravidel chování a smluv o přístupu	Ručně, zakázáno	1.1.0
Zakázat nespravedlivé praktiky	CMA_0396 – Zákaz nespravedlivých praktik	Ručně, zakázáno	1.1.0
Kontrola a podepsání revidovaných pravidel chování	CMA_0465 – Kontrola a podepsání revidovaných pravidel chování	Ručně, zakázáno	1.1.0
Aktualizace zásad zabezpečení informací	CMA_0518 – aktualizace zásad zabezpečení informací	Ručně, zakázáno	1.1.0
Aktualizace pravidel chování a přístupových smluv	CMA_0521 – aktualizace pravidel chování a smluv o přístupu	Ručně, zakázáno	1.1.0
Aktualizace pravidel chování a přístupových smluv každých 3 roky	CMA_0522 – aktualizace pravidel chování a přístupových smluv každých 3 roky	Ručně, zakázáno	1.1.0

ID: NIST SP 800-53 Rev. 5 PL-4 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj přijatelných zásad a postupů použití	CMA_0143 – Vývoj přijatelných zásad a postupů použití	Ručně, zakázáno	1.1.0

Architektury zabezpečení a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 PL-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj konceptu operací (CONOPS)	CMA_0141 – vývoj konceptu operací (CONOPS)	Ručně, zakázáno	1.1.0
Kontrola a aktualizace architektury zabezpečení informací	CMA_C1504 – Kontrola a aktualizace architektury zabezpečení informací	Ručně, zakázáno	1.1.0

Zabezpečení personálu

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 PS-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů zabezpečení pracovníků	CMA_C1507 – Kontrola a aktualizace zásad a postupů zabezpečení pracovníků	Ručně, zakázáno	1.1.0

Označení rizika pozice

ID: NIST SP 800-53 Rev. 5 PS-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přiřazení označení rizik	CMA_0016 – přiřazení označení rizik	Ručně, zakázáno	1.1.0

Screening personálu

ID: NIST SP 800-53 Rev. 5 PS-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vymazat pracovníky s přístupem k klasifikovaným informacím	CMA_0054 – Vymazat pracovníky s přístupem k klasifikovaným informacím	Ručně, zakázáno	1.1.0
Implementace kontroly pracovníků	CMA_0322 – implementace kontroly pracovníků	Ručně, zakázáno	1.1.0
Opakované zobrazení jednotlivců s definovanou frekvencí	CMA_C1512 – přeobrazovek jednotlivců s definovanou frekvencí	Ručně, zakázáno	1.1.0

Informace vyžadující zvláštní ochranná opatření

ID: NIST SP 800-53 Rev. 5 PS-3 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ochrana speciálních informací	CMA_0409 – Ochrana speciálních informací	Ručně, zakázáno	1.1.0

Ukončení personálního oddělení

ID: NIST SP 800-53 Rev. 5 PS-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provedení závěrečného pohovoru po ukončení	CMA_0058 - Provedení závěrečného pohovoru po ukončení	Ručně, zakázáno	1.1.0
Zakázání ověřovacích modulů po ukončení	CMA_0169 – Zakázání ověřovacích modulů po ukončení	Ručně, zakázáno	1.1.0
Upozorňovat na ukončení nebo převod	CMA_0381 – oznámení při ukončení nebo převodu	Ručně, zakázáno	1.1.0
Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům	CMA_0398 – Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům	Ručně, zakázáno	1.1.0
Zachování ukončených uživatelských dat	CMA_0455 – Zachování ukončených uživatelských dat	Ručně, zakázáno	1.1.0

Automatické akce

ID: NIST SP 800-53 Rev. 5 PS-4 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace oznámení o ukončení zaměstnance	CMA_C1521 – Automatizace oznámení o ukončení zaměstnance	Ručně, zakázáno	1.1.0

Transfer personálu

ID: NIST SP 800-53 Rev. 5 PS-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zahájení akcí převodu nebo opětovného přiřazení	CMA_0333 – Zahájení akcí převodu nebo opětovného přiřazení	Ručně, zakázáno	1.1.0
Úprava autorizace přístupu při převodu personálu	CMA_0374 – Úprava autorizace přístupu při převodu personálu	Ručně, zakázáno	1.1.0
Upozorňovat na ukončení nebo převod	CMA_0381 – oznámení při ukončení nebo převodu	Ručně, zakázáno	1.1.0
Opětovné hodnocení přístupu při převodu personálu	CMA_0424 - Opětovné hodnocení přístupu při převodu personálu	Ručně, zakázáno	1.1.0

Přístupové smlouvy

ID: NIST SP 800-53 Rev. 5 PS-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat smlouvy o přístupu organizace	CMA_0192 – Zdokumentovat smlouvy o přístupu organizace	Ručně, zakázáno	1.1.0
Vynucení pravidel chování a smluv o přístupu	CMA_0248 – vynucování pravidel chování a smluv o přístupu	Ručně, zakázáno	1.1.0
Ujistěte se, že jsou smlouvy o přístupu podepsány nebo odstoupit včas.	CMA_C1528 – zajištění, že jsou smlouvy o přístupu podepsány nebo odstoupit včas	Ručně, zakázáno	1.1.0
Vyžadovat, aby uživatelé podepsali přístupové smlouvy.	CMA_0440 – Vyžadovat, aby uživatelé podepsali přístupovou smlouvu	Ručně, zakázáno	1.1.0
Aktualizace smluv o přístupu organizace	CMA_0520 – Aktualizace smluv o přístupu organizace	Ručně, zakázáno	1.1.0

Zabezpečení externích pracovníků

ID: NIST SP 800-53 Rev. 5 PS-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat požadavky na zabezpečení pracovníků třetích stran	CMA_C1531 – Zdokumentovat požadavky na zabezpečení pracovníků třetích stran	Ručně, zakázáno	1.1.0
Vytvoření požadavků na zabezpečení pracovníků třetích stran	CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran	Ručně, zakázáno	1.1.0
Monitorování dodržování předpisů poskytovatele třetích stran	CMA_C1533 – Monitorování dodržování předpisů poskytovatelů třetích stran	Ručně, zakázáno	1.1.0
Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany	CMA_C1532 – Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany	Ručně, zakázáno	1.1.0
Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků.	CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků	Ručně, zakázáno	1.1.0

Schválení personálu

ID: NIST SP 800-53 Rev. 5 PS-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace formálního procesu sankcí	CMA_0317 – implementace formálního procesu sankcí	Ručně, zakázáno	1.1.0
Upozornit pracovníky na sankce	CMA_0380 – upozornit pracovníky na sankce	Ručně, zakázáno	1.1.0

Posouzení rizik

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 RA-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů posouzení rizik	CMA_C1537 – Kontrola a aktualizace zásad a postupů posouzení rizik	Ručně, zakázáno	1.1.0

Kategorizace zabezpečení

ID: NIST SP 800-53 Rev. 5 RA-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kategorizace informací	CMA_0052 – kategorizace informací	Ručně, zakázáno	1.1.0
Vývoj schémat obchodní klasifikace	CMA_0155 – vývoj schémat obchodní klasifikace	Ručně, zakázáno	1.1.0
Ujistěte se, že je schválená kategorizace zabezpečení.	CMA_C1540 – Ujistěte se, že je schválená kategorizace zabezpečení.	Ručně, zakázáno	1.1.0
Kontrola aktivity a analýzy popisků	CMA_0474 – Kontrola aktivit a analýz popisků	Ručně, zakázáno	1.1.0

Posouzení rizik

ID: NIST SP 800-53 Rev. 5 RA-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení rizik	CMA_C1543 – Posouzení rizik	Ručně, zakázáno	1.1.0
Posouzení rizik a distribuce výsledků	CMA_C1544 – Posouzení rizik a distribuce výsledků	Ručně, zakázáno	1.1.0
Posouzení rizik a zdokumentování výsledků	CMA_C1542 – Posouzení rizik a zdokumentování výsledků	Ručně, zakázáno	1.1.0
Provedení posouzení rizik	CMA_0388 – provedení posouzení rizik	Ručně, zakázáno	1.1.0

Monitorování a kontrola ohrožení zabezpečení

ID: NIST SP 800-53 Rev. 5 RA-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.	Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás.	AuditIfNotExists, zakázáno	3.0.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení	Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze.	AuditIfNotExists, zakázáno	4.1.0
Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích	Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze.	AuditIfNotExists, zakázáno	1.0.0
Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit.	Auditujte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazují se jako doporučení ve službě Azure Security Center.	AuditIfNotExists, zakázáno	3.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.	Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení.	AuditIfNotExists, zakázáno	3.1.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů.	Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky.	AuditIfNotExists, zakázáno	3.0.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení.	Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze.	AuditIfNotExists, zakázáno	1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení.	Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze.	AuditIfNotExists, zakázáno	3.0.0
V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení.	Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse	AuditIfNotExists, zakázáno	1.0.0

Aktualizace ohrožení zabezpečení, která se mají zkontrolovat

ID: NIST SP 800-53 Rev. 5 RA-5 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0

Šířka a hloubka pokrytí

ID: NIST SP 800-53 Rev. 5 RA-5 (3) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0

Zjistitelné informace

ID: NIST SP 800-53 Rev. 5 RA-5 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provedení akce v reakci na informace o zákazníci	CMA_C1554 – provedení akce v reakci na informace o zákazníci	Ručně, zakázáno	1.1.0

Privilegovaný přístup

ID: NIST SP 800-53 Rev. 5 RA-5 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	Ručně, zakázáno	1.1.0

Automatizované analýzy trendu

ID: NIST SP 800-53 Rev. 5 RA-5 (6) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Sledování a hlášení slabých míst zabezpečení	CMA_0384 – sledování a hlášení slabých stránek zabezpečení	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Modelování hrozeb	CMA_0392 – modelování hrozeb	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0

Kontrola historických protokolů auditu

ID: NIST SP 800-53 Rev. 5 RA-5 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav	CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav	Ručně, zakázáno	1.1.0
Integrace kontroly auditu, analýzy a generování sestav	CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Týdenní kontrola přiřazení správců	CMA_0461 – týdenní kontrola přiřazení správců	Ručně, zakázáno	1.1.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Přehled sestavy cloudových identit	CMA_0468 – Přehled sestav cloudových identit	Ručně, zakázáno	1.1.0
Kontrola událostí přístupu k řízeným složkům	CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce	Ručně, zakázáno	1.1.0
Kontrola událostí ochrany zneužití	CMA_0472 – Kontrola událostí ochrany zneužití	Ručně, zakázáno	1.1.0
Kontrola aktivity souborů a složek	CMA_0473 – Kontrola aktivity souborů a složek	Ručně, zakázáno	1.1.0
Týdenní kontrola změn skupin rolí	CMA_0476 – týdenní kontrola změn skupin rolí	Ručně, zakázáno	1.1.0

Korelace informací o kontrole

ID: NIST SP 800-53 Rev. 5 RA-5 (10) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Korelace informací o kontrole ohrožení zabezpečení	CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení	Ručně, zakázáno	1.1.1

Získání systému a služeb

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 SA-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů získávání systémů a služeb	CMA_C1560 – Kontrola a aktualizace zásad a postupů získávání systémů a služeb	Ručně, zakázáno	1.1.0

Přidělení prostředků

ID: NIST SP 800-53 Rev. 5 SA-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Sladění obchodních cílů a cílů IT	CMA_0008 – sladění obchodních cílů a cílů IT	Ručně, zakázáno	1.1.0
Přidělení prostředků při určování požadavků na informační systém	CMA_C1561 – Přidělení prostředků při určování požadavků na informační systém	Ručně, zakázáno	1.1.0
Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování	CMA_C1563 – Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování	Ručně, zakázáno	1.1.0
Vytvoření programu ochrany osobních údajů	CMA_0257 – Vytvoření programu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Řízení přidělování prostředků	CMA_0293 – řízení přidělování prostředků	Ručně, zakázáno	1.1.0
Zabezpečení závazku od vedení	CMA_0489 – zabezpečený závazek od vedení	Ručně, zakázáno	1.1.0

Životní cyklus vývoje systému

ID: NIST SP 800-53 Rev. 5 SA-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování rolí zabezpečení informací a zodpovědností	CMA_C1565 – Definování rolí zabezpečení informací a odpovědností	Ručně, zakázáno	1.1.0
Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi	CMA_C1566 – Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi	Ručně, zakázáno	1.1.1
Integrace procesu řízení rizik do SDLC	CMA_C1567 – Integrace procesu řízení rizik do SDLC	Ručně, zakázáno	1.1.0

Proces získání

ID: NIST SP 800-53 Rev. 5 SA-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení závazků dodavatelů	CMA_0140 – Určení závazků dodavatelů	Ručně, zakázáno	1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu	CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu	Ručně, zakázáno	1.1.0
Ochrana osobních údajů v kupních smlouvách	CMA_0194 - Ochrana osobních údajů v kupních smlouvách	Ručně, zakázáno	1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení	CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách	Ručně, zakázáno	1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech	CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách	Ručně, zakázáno	1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách	CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání	CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání	Ručně, zakázáno	1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání	CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání	Ručně, zakázáno	1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách	CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích.	CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení	Ručně, zakázáno	1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran.	CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran.	Ručně, zakázáno	1.1.0

Funkční vlastnosti ovládacích prvků

ID: NIST SP 800-53 Rev. 5 SA-4 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Získání funkčních vlastností ovládacích prvků zabezpečení	CMA_C1575 – získání funkčních vlastností kontrolních mechanismů zabezpečení	Ručně, zakázáno	1.1.0

Informace o návrhu a implementaci ovládacích prvků

ID: NIST SP 800-53 Rev. 5 SA-4 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Získání informací o návrhu a implementaci pro bezpečnostní prvky	CMA_C1576 – Získání informací o návrhu a implementaci bezpečnostních prvků	Ručně, zakázáno	1.1.1

Plán průběžného monitorování pro ovládací prvky

ID: NIST SP 800-53 Rev. 5 SA-4 (8) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Získání plánu průběžného monitorování pro bezpečnostní prvky	CMA_C1577 – Získání plánu průběžného monitorování pro kontrolní mechanismy zabezpečení	Ručně, zakázáno	1.1.0

Používané funkce, porty, protokoly a služby

ID: NIST SP 800-53 Rev. 5 SA-4 (9) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyžadování vývojáře k identifikaci portů, protokolů a služeb SDLC	CMA_C1578 – Vyžaduje vývojáře, aby identifikoval porty, protokoly a služby SDLC.	Ručně, zakázáno	1.1.0

Použití schválených produktů PIV

ID: NIST SP 800-53 Rev. 5 SA-4 (10) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Využití technologie schválené fiPS 201 pro PIV	CMA_C1579 – zaměstnat technologii schválenou FIPS 201 pro PIV	Ručně, zakázáno	1.1.0

Systémová dokumentace

ID: NIST SP 800-53 Rev. 5 SA-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Distribuce dokumentace k informačnímu systému	CMA_C1584 – Distribuce dokumentace k informačnímu systému	Ručně, zakázáno	1.1.0
Zdokumentovat akce definované zákazníkem	CMA_C1582 – Zdokumentovat akce definované zákazníkem	Ručně, zakázáno	1.1.0
Získání Správa dokumentace	CMA_C1580 – získání dokumentace k Správa	Ručně, zakázáno	1.1.0
Získání dokumentace k funkcím zabezpečení uživatele	CMA_C1581 – Získání dokumentace k funkcím zabezpečení uživatele	Ručně, zakázáno	1.1.0
Ochrana dokumentace pro správce a uživatele	CMA_C1583 – Ochrana dokumentace pro správce a uživatele	Ručně, zakázáno	1.1.0

Služby externího systému

ID: NIST SP 800-53 Rev. 5 SA-9 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování a zdokumentujte dohled nad státní správou	CMA_C1587 – Definování a dokument vládní dohled	Ručně, zakázáno	1.1.0
Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení	CMA_C1586 – Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení	Ručně, zakázáno	1.1.0
Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	CMA_0469 – Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	Ručně, zakázáno	1.1.0
Projít nezávislou kontrolou zabezpečení	CMA_0515 – Projděte si nezávislou kontrolu zabezpečení	Ručně, zakázáno	1.1.0

Posouzení rizik a organizační Schválení

ID: NIST SP 800-53 Rev. 5 SA-9 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení rizika v relacích třetích stran	CMA_0014 – Posouzení rizika v relacích třetích stran	Ručně, zakázáno	1.1.0
Získání schválení pro akvizice a outsourcing	CMA_C1590 – získání schválení pro akvizice a outsourcing	Ručně, zakázáno	1.1.0

Identifikace funkcí, portů, protokolů a služeb

ID: NIST SP 800-53 Rev. 5 SA-9 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Identifikace externích poskytovatelů služeb	CMA_C1591 – Identifikace externích poskytovatelů služeb	Ručně, zakázáno	1.1.0

Konzistentní zájmy spotřebitelů a poskytovatelů

ID: NIST SP 800-53 Rev. 5 SA-9 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění konzistentního splnění zájmů zákazníků externími poskytovateli	CMA_C1592 – zajištění konzistentního splnění zájmů zákazníků externími poskytovateli	Ručně, zakázáno	1.1.0

Zpracování, úložiště a umístění služby

ID: NIST SP 800-53 Rev. 5 SA-9 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Omezení umístění zpracování informací, úložiště a služeb	CMA_C1593 – Omezení umístění zpracování informací, úložiště a služeb	Ručně, zakázáno	1.1.0

Správa konfigurací pro vývojáře

ID: NIST SP 800-53 Rev. 5 SA-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řešení ohrožení zabezpečení kódování	CMA_0003 – Řešení ohrožení zabezpečení kódování	Ručně, zakázáno	1.1.0
Vývoj a zdokumentovat požadavky na zabezpečení aplikací	CMA_0148 – Vývoj a zdokumentovat požadavky na zabezpečení aplikací	Ručně, zakázáno	1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích.	CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení	Ručně, zakázáno	1.1.0
Vytvoření zabezpečeného programu pro vývoj softwaru	CMA_0259 – vytvoření zabezpečeného programu pro vývoj softwaru	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři dokumentovat schválené změny a potenciální dopad	CMA_C1597 – Vyžadovat, aby vývojáři zdokumentovali schválené změny a potenciální dopad	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři implementovali jenom schválené změny.	CMA_C1596 – Vyžadovat, aby vývojáři implementovali jenom schválené změny	Ručně, zakázáno	1.1.0
Vyžadování vývojářů ke správě integrity změn	CMA_C1595 – Vyžadování vývojářů ke správě integrity změn	Ručně, zakázáno	1.1.0

Ověření integrity softwaru a firmwaru

ID: NIST SP 800-53 Rev. 5 SA-10 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0

Testování a vyhodnocení pro vývojáře

ID: NIST SP 800-53 Rev. 5 SA-11 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení.	CMA_C1602 – Vyžaduje, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení.	Ručně, zakázáno	1.1.0

Vývojový proces, standardy a nástroje

ID: NIST SP 800-53 Rev. 5 SA-15 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola procesu vývoje, standardů a nástrojů	CMA_C1610 – kontrola procesu vývoje, standardů a nástrojů	Ručně, zakázáno	1.1.0

Školení poskytované vývojářem

ID: NIST SP 800-53 Rev. 5 SA-16 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyžadovat, aby vývojáři poskytovali školení	CMA_C1611 – Vyžadovat, aby vývojáři poskytli školení	Ručně, zakázáno	1.1.0

Architektura a návrh zabezpečení pro vývojáře a ochrana osobních údajů

ID: NIST SP 800-53 Rev. 5 SA-17 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení	CMA_C1612 – Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení	Ručně, zakázáno	1.1.0
Vyžadování vývojářů k popisu přesných funkcí zabezpečení	CMA_C1613 – Vyžadovat, aby vývojáři popsali přesné funkce zabezpečení	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení	CMA_C1614 – Vyžadování, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení	Ručně, zakázáno	1.1.0

System and Communications Protection

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 SC-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací	CMA_C1616 – Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací	Ručně, zakázáno	1.1.0

Oddělení systémových a uživatelských funkcí

ID: NIST SP 800-53 Rev. 5 SC-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace vzdáleného přístupu	CMA_0024 – Autorizace vzdáleného přístupu	Ručně, zakázáno	1.1.0
Samostatné funkce správy uživatelských a informačních systémů	CMA_0493 – Samostatné funkce správy uživatelských a informačních systémů	Ručně, zakázáno	1.1.0
Použití vyhrazených počítačů pro úlohy správy	CMA_0527 – Použití vyhrazených počítačů pro úlohy správy	Ručně, zakázáno	1.1.0

Izolace funkce zabezpečení

ID: NIST SP 800-53 Rev. 5 SC-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů.	Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center	Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená.	Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows).	AuditIfNotExists, zakázáno	2.0.0

Ochrana před dostupností služby

ID: NIST SP 800-53 Rev. 5 SC-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Měla by být povolená služba Azure DDoS Protection.	Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou.	AuditIfNotExists, zakázáno	3.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	1.0.2
Vývoj a zdokumentujte plán reakce DDoS	CMA_0147 – Vývoj a zdokumentujte plán reakce DDoS	Ručně, zakázáno	1.1.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	2.0.0

Dostupnost prostředků

ID: NIST SP 800-53 Rev. 5 SC-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení přidělování prostředků	CMA_0293 – řízení přidělování prostředků	Ručně, zakázáno	1.1.0
Správa dostupnosti a kapacity	CMA_0356 – Správa dostupnosti a kapacity	Ručně, zakázáno	1.1.0
Zabezpečení závazku od vedení	CMA_0489 – zabezpečený závazek od vedení	Ručně, zakázáno	1.1.0

Ochrana hranic

ID: NIST SP 800-53 Rev. 5 SC-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit.	Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	3.1.0-preview
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.	Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky.	AuditIfNotExists, zakázáno	3.0.0
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.	Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky.	AuditIfNotExists, zakázáno	3.0.0
Služby API Management by měly používat virtuální síť.	Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti.	Audit, Odepřít, Zakázáno	1.0.2
Konfigurace aplikace by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, zakázáno	1.0.2
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services.	Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí.	Audit, zakázáno	2.0.1
Prostředky azure AI Services by měly omezit síťový přístup.	Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí.	Audit, Odepřít, Zakázáno	3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení.	Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink.	Audit, zakázáno	1.0.0
Azure Cache for Redis by měl používat privátní propojení	Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, zakázáno	1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení.	Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti.	Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služby Azure Cognitive Search by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, zakázáno	1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall.	Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující.	Audit, Odepřít, Zakázáno	2.0.0
Azure Data Factory by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, zakázáno	1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Synchronizace souborů Azure by měl používat privátní propojení	Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall.	Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Odepřít, Zakázáno	3.2.1
Služby Azure Key Vault by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Pracovní prostory azure machine Učení by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, zakázáno	1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure SignalR by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink.	Audit, zakázáno	1.0.0
Pracovní prostory Azure Synapse by měly používat private link.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, zakázáno	1.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	1.0.2
Služba Azure Web PubSub by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink.	Audit, zakázáno	1.0.0
Účty služeb Cognitive Services by měly zakázat přístup k veřejné síti	Pokud chcete zlepšit zabezpečení účtů služeb Cognitive Services, ujistěte se, že není vystavený veřejnému internetu a je možné k němu přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://go.microsoft.com/fwlink/?linkid=2129800. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat.	Audit, Odepřít, Zakázáno	3.0.1
Služby Cognitive Services by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, zakázáno	3.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup	Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet	Audit, Odepřít, Zakázáno	2.0.0
Registry kontejnerů by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.	Audit, zakázáno	1.0.1
Účty Cosmos DB by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, zakázáno	1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, zakázáno	1.0.0
Obory názvů centra událostí by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet.	Audit, zakázáno	1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené.	Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači.	AuditIfNotExists, zakázáno	3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database.	Audit, zakázáno	1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný.	Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.1
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.	Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště.	Audit, Odepřít, Zakázáno	1.0.1
Účty úložiště by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, zakázáno	2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě.	Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě.	AuditIfNotExists, zakázáno	3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	2.0.0

Přístupové body

ID: NIST SP 800-53 Rev. 5 SC-7 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit.	Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	3.1.0-preview
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.	Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky.	AuditIfNotExists, zakázáno	3.0.0
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.	Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky.	AuditIfNotExists, zakázáno	3.0.0
Služby API Management by měly používat virtuální síť.	Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti.	Audit, Odepřít, Zakázáno	1.0.2
Konfigurace aplikace by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists, zakázáno	1.0.2
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services.	Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí.	Audit, zakázáno	2.0.1
Prostředky azure AI Services by měly omezit síťový přístup.	Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí.	Audit, Odepřít, Zakázáno	3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení.	Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink.	Audit, zakázáno	1.0.0
Azure Cache for Redis by měl používat privátní propojení	Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists, zakázáno	1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení.	Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti.	Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, Odepřít, Zakázáno	1.0.0
Služby Azure Cognitive Search by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	Audit, zakázáno	1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall.	Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující.	Audit, Odepřít, Zakázáno	2.0.0
Azure Data Factory by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists, zakázáno	1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.	Audit, zakázáno	1.0.2
Synchronizace souborů Azure by měl používat privátní propojení	Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall.	Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Odepřít, Zakázáno	3.2.1
Služby Azure Key Vault by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
Pracovní prostory azure machine Učení by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	Audit, zakázáno	1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Služba Azure SignalR by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink.	Audit, zakázáno	1.0.0
Pracovní prostory Azure Synapse by měly používat private link.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	Audit, zakázáno	1.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	1.0.2
Služba Azure Web PubSub by měla používat privátní propojení.	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink.	Audit, zakázáno	1.0.0
Účty služeb Cognitive Services by měly zakázat přístup k veřejné síti	Pokud chcete zlepšit zabezpečení účtů služeb Cognitive Services, ujistěte se, že není vystavený veřejnému internetu a je možné k němu přistupovat jenom z privátního koncového bodu. Zakažte vlastnost přístupu k veřejné síti, jak je popsáno v tématu https://go.microsoft.com/fwlink/?linkid=2129800. Tato možnost zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. To snižuje riziko úniku dat.	Audit, Odepřít, Zakázáno	3.0.1
Služby Cognitive Services by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800.	Audit, zakázáno	3.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup	Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelinka .https://aka.ms/acr/vnet	Audit, Odepřít, Zakázáno	2.0.0
Registry kontejnerů by měly používat privátní propojení.	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.	Audit, zakázáno	1.0.1
Účty Cosmos DB by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, zakázáno	1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists, zakázáno	1.0.0
Obory názvů centra událostí by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists, zakázáno	1.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet.	Audit, zakázáno	1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené.	Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači.	AuditIfNotExists, zakázáno	3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database.	Audit, zakázáno	1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL.	Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.	AuditIfNotExists, zakázáno	1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný.	Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný.	Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.	Audit, Odepřít, Zakázáno	2.0.1
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.	Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště.	Audit, Odepřít, Zakázáno	1.0.1
Účty úložiště by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, zakázáno	2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě.	Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě.	AuditIfNotExists, zakázáno	3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.	Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.	Audit, Odepřít, Zakázáno	2.0.0

Externí telekomunikační služby

ID: NIST SP 800-53 Rev. 5 SC-7 (4) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace spravovaného rozhraní pro každou externí službu	CMA_C1626 – Implementace spravovaného rozhraní pro každou externí službu	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Zabezpečení rozhraní s externími systémy	CMA_0491 – Zabezpečení rozhraní s externími systémy	Ručně, zakázáno	1.1.0

Rozdělené tunelování pro vzdálená zařízení

ID: NIST SP 800-53 Rev. 5 SC-7 (7) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zabránění rozdělení tunelového propojení pro vzdálená zařízení	CMA_C1632 – Zabránění rozdělení tunelového propojení pro vzdálená zařízení	Ručně, zakázáno	1.1.0

Směrování provozu na ověřené proxy servery

ID: NIST SP 800-53 Rev. 5 SC-7 (8) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Směrování provozu přes ověřenou proxy síť	CMA_C1633 – Směrování provozu přes ověřenou proxy síť	Ručně, zakázáno	1.1.0

Ochrana založená na hostiteli

ID: NIST SP 800-53 Rev. 5 SC-7 (12) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0

Izolace nástrojů, mechanismů a podpůrných komponent zabezpečení

ID: NIST SP 800-53 Rev. 5 SC-7 (13) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Izolace systémů SecurID, systémů správy incidentů zabezpečení	CMA_C1636 – izolace systémů SecurID, systémů správy incidentů zabezpečení	Ručně, zakázáno	1.1.0

Zabezpečení selhání

ID: NIST SP 800-53 Rev. 5 SC-7 (18) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Správa přenosů mezi pohotovostními a aktivními součástmi systému	CMA_0371 – Správa přenosů mezi pohotovostními a aktivními součástmi systému	Ručně, zakázáno	1.1.0

Dynamická izolace a oddělení

ID: NIST SP 800-53 Rev. 5 SC-7 (20) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění dynamické izolace prostředků s podporou systému	CMA_C1638 – zajištění dynamické izolace prostředků	Ručně, zakázáno	1.1.0

Izolace systémových komponent

ID: NIST SP 800-53 Rev. 5 SC-7 (21) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití ochrany hranic k izolaci informačních systémů	CMA_C1639 – použití ochrany hranic k izolaci informačních systémů	Ručně, zakázáno	1.1.0

Důvěrnost a integrita přenosu

ID: NIST SP 800-53 Rev. 5 SC-8 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS.	Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě.	Audit, Zakázáno, Odepřít	4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS.	Povolte vynucení FTPS pro lepší zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS.	Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.	AuditIfNotExists, zakázáno	2.0.1
Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu.	Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu.	Audit, Odepřít, Zakázáno	1.0.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL.	Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.	Audit, zakázáno	1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL.	Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.	Audit, zakázáno	1.0.1
Aplikace funkcí by měly být přístupné jenom přes HTTPS.	Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě.	Audit, Zakázáno, Odepřít	5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS.	Povolte vynucení FTPS pro lepší zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS.	Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze.	AuditIfNotExists, zakázáno	2.0.1
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS.	Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	8.1.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis.	Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace	Audit, Odepřít, Zakázáno	1.0.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený.	Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace.	Audit, Odepřít, Zakázáno	2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.	K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači.	AuditIfNotExists, zakázáno	4.1.1

Kryptografická ochrana

ID: NIST SP 800-53 Rev. 5 SC-8 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS.	Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě.	Audit, Zakázáno, Odepřít	4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS.	Povolte vynucení FTPS pro lepší zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS.	Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.	AuditIfNotExists, zakázáno	2.0.1
Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu.	Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu.	Audit, Odepřít, Zakázáno	1.0.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL.	Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.	Audit, zakázáno	1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL.	Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.	Audit, zakázáno	1.0.1
Aplikace funkcí by měly být přístupné jenom přes HTTPS.	Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě.	Audit, Zakázáno, Odepřít	5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS.	Povolte vynucení FTPS pro lepší zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS.	Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze.	AuditIfNotExists, zakázáno	2.0.1
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS.	Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	8.1.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis.	Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace	Audit, Odepřít, Zakázáno	1.0.0
Zabezpečený přenos do účtů úložiště by měl být povolený.	Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace.	Audit, Odepřít, Zakázáno	2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.	K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači.	AuditIfNotExists, zakázáno	4.1.1

Odpojení sítě

ID: NIST SP 800-53 Rev. 5 SC-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Opětovné ověření nebo ukončení uživatelské relace	CMA_0421 – Opětovné ověření nebo ukončení uživatelské relace	Ručně, zakázáno	1.1.0

Vytvoření a správa kryptografických klíčů

ID: NIST SP 800-53 Rev. 5 SC-12 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem.	Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption.	Audit, Odepřít, Zakázáno	1.0.0-preview
[Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK)	Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK.	Audit, Odepřít, Zakázáno	1.0.0-preview
Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem.	Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou.	audit, Audit, Disabled, Disabled	1.1.0
Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk.	Audit, Odepřít, Zakázáno	1.0.0
Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem.	Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK.	Audit, Odepřít, Zakázáno	1.0.1
Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem.	Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat.	Audit, Zakázáno, Odepřít	1.0.0
Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem.	Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu.	Audit, Odepřít, Zakázáno	1.0.0
Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem.	Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault.	Audit, Odepřít, Zakázáno	1.0.0
Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem.	Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk.	Audit, Odepřít, Zakázáno	1.0.1
Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk.	Audit, Odepřít, Zakázáno	1.0.1
Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli.	Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage.	Audit, Odepřít, Zakázáno	1.0.0
Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem.	Správa šifrování neaktivních uložených dat v pracovním prostoru Azure Machine Učení pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk.	Audit, Odepřít, Zakázáno	1.0.3
Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem.	Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem.	Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou.	Audit, Odepřít, Zakázáno	1.0.0
Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem.	Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem.	Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů.	Audit, Odepřít, Zakázáno	1.0.1
Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem.	Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Odepřít, Zakázáno	2.1.0
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem.	Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK.	Audit, Odepřít, Zakázáno	1.1.2
Definování procesu správy fyzických klíčů	CMA_0115 – Definování procesu správy fyzických klíčů	Ručně, zakázáno	1.1.0
Definování kryptografického použití	CMA_0120 – Definování kryptografického použití	Ručně, zakázáno	1.1.0
Definování požadavků organizace na správu kryptografických klíčů	CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů	Ručně, zakázáno	1.1.0
Určení požadavků na kontrolní výraz	CMA_0136 – Určení požadavků na kontrolní výraz	Ručně, zakázáno	1.1.0
Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem.	Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech.	Audit, zakázáno	1.0.0
Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem.	Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy.	Audit, Zakázáno, Odepřít	2.0.0
Vystavení certifikátů veřejného klíče	CMA_0347 – Vydávání certifikátů veřejného klíče	Ručně, zakázáno	1.1.0
Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem.	Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy.	Audit, Odepřít, Zakázáno	1.0.0
Správa symetrických kryptografických klíčů	CMA_0367 – Správa symetrických kryptografických klíčů	Ručně, zakázáno	1.1.0
Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem.	Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption.	Audit, Odepřít, Zakázáno	1.0.0
Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy.	AuditIfNotExists, zakázáno	1.0.4
Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem.	Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk.	Audit, Odepřít, Zakázáno	3.0.0
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy.	AuditIfNotExists, zakázáno	1.0.4
Omezení přístupu k privátním klíčům	CMA_0445 – Omezení přístupu k privátním klíčům	Ručně, zakázáno	1.1.0
Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů.	Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem.	Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium.	Audit, zakázáno	1.0.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů.	Audit, Odepřít, Zakázáno	2.0.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů.	Audit, Odepřít, Zakázáno	2.0.1
Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.	Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview.	Audit, Odepřít, Zakázáno	1.0.0
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem.	Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat.	Audit, zakázáno	1.0.3

Dostupnost

ID: NIST SP 800-53 Rev. 5 SC-12 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zachování dostupnosti informací	CMA_C1644 – zachování dostupnosti informací	Ručně, zakázáno	1.1.0

Symetrické klíče

ID: NIST SP 800-53 Rev. 5 SC-12 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytváření, řízení a distribuce symetrických kryptografických klíčů	CMA_C1645 – vytváření, řízení a distribuce symetrických kryptografických klíčů	Ručně, zakázáno	1.1.0

Asymetrické klíče

ID: NIST SP 800-53 Rev. 5 SC-12 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytváření, řízení a distribuce asymetrických kryptografických klíčů	CMA_C1646 – vytváření, řízení a distribuce asymetrických kryptografických klíčů	Ručně, zakázáno	1.1.0

Kryptografická ochrana

ID: NIST SP 800-53 Rev. 5 SC-13 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Definování kryptografického použití	CMA_0120 – Definování kryptografického použití	Ručně, zakázáno	1.1.0

Výpočetní zařízení a aplikace pro spolupráci

ID: NIST SP 800-53 Rev. 5 SC-15 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Explicitní upozornění na používání výpočetních zařízení pro spolupráci	CMA_C1649 – explicitně upozorňovat použití výpočetních zařízení pro spolupráci	Ručně, zakázáno	1.1.1
Zakázání vzdálené aktivace výpočetních zařízení pro spolupráci	CMA_C1648 – Zákaz vzdálené aktivace výpočetních zařízení pro spolupráci	Ručně, zakázáno	1.1.0

Certifikáty infrastruktury veřejných klíčů

ID: NIST SP 800-53 Rev. 5 SC-17 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vystavení certifikátů veřejného klíče	CMA_0347 – Vydávání certifikátů veřejného klíče	Ručně, zakázáno	1.1.0

Mobilní kód

ID: NIST SP 800-53 Rev. 5 SC-18 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace, monitorování a řízení používání technologií mobilního kódu	CMA_C1653 – Autorizace, monitorování a řízení používání technologií mobilního kódu	Ručně, zakázáno	1.1.0
Definování přijatelných a nepřijatelných technologií mobilního kódu	CMA_C1651 – Definování přijatelných a nepřijatelných technologií mobilního kódu	Ručně, zakázáno	1.1.0
Stanovení omezení použití pro technologie mobilního kódu	CMA_C1652 – Stanovení omezení použití pro technologie mobilního kódu	Ručně, zakázáno	1.1.0

Služba překladu zabezpečených názvů a adres (autoritativní zdroj)

ID: NIST SP 800-53 Rev. 5 SC-20 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace služby name/address service odolné proti chybám	CMA_0305 – Implementace služby s odolností proti chybám	Ručně, zakázáno	1.1.0
Zadejte zabezpečené služby překladu názvů a adres.	CMA_0416 – Poskytování zabezpečených služeb překladu adres a názvů	Ručně, zakázáno	1.1.0

Služba překladu zabezpečených názvů a adres (rekurzivní nebo Ukládání do mezipaměti Resolver)

ID: NIST SP 800-53 Rev. 5 SC-21 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace služby name/address service odolné proti chybám	CMA_0305 – Implementace služby s odolností proti chybám	Ručně, zakázáno	1.1.0
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0

Architektura a zřizování pro službu překladu názvů a adres

ID: NIST SP 800-53 Rev. 5 SC-22 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Implementace služby name/address service odolné proti chybám	CMA_0305 – Implementace služby s odolností proti chybám	Ručně, zakázáno	1.1.0

Pravost relace

ID: NIST SP 800-53 Rev. 5 SC-23 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Vynucení náhodných jedinečných identifikátorů relace	CMA_0247 – Vynucování náhodných jedinečných identifikátorů relací	Ručně, zakázáno	1.1.0

Zneplatnění identifikátorů relací při odhlášení

ID: NIST SP 800-53 Rev. 5 SC-23 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zneplatnění identifikátorů relací při odhlášení	CMA_C1661 – Zneplatnění identifikátorů relací při odhlášení	Ručně, zakázáno	1.1.0

Selhání ve známém stavu

ID: NIST SP 800-53 Rev. 5 SC-24 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění selhání informačního systému ve známém stavu	CMA_C1662 – Zajištění selhání informačního systému ve známém stavu	Ručně, zakázáno	1.1.0

Ochrana neaktivních uložených informací

ID: NIST SP 800-53 Rev. 5 SC-28 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Služba App Service Environment by měla mít povolené interní šifrování.	Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu .	Audit, zakázáno	1.0.1
Proměnné účtu Automation by měly být šifrované.	Při ukládánícitlivýchch	Audit, Odepřít, Zakázáno	1.1.0
Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení.	Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat.	Audit, Odepřít, Zakázáno	1.0.0
Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování).	Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Zařízení Azure Stack Edge by měla používat dvojité šifrování	Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Šifrování disků by mělo být povolené v Azure Data Exploreru.	Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů.	Audit, Odepřít, Zakázáno	2.0.0
V Azure Data Exploreru by se mělo povolit dvojité šifrování.	Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů.	Audit, Odepřít, Zakázáno	2.0.0
Vytvoření postupu správy úniku dat	CMA_0255 – Vytvoření postupu správy úniku dat	Ručně, zakázáno	1.1.0
Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury.	Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2.	Audit, Odepřít, Zakázáno	1.0.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury.	Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2.	Audit, Odepřít, Zakázáno	1.0.0
Ochrana speciálních informací	CMA_0409 – Ochrana speciálních informací	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.	Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané.	Audit, Odepřít, Zakázáno	1.1.0
Účty úložiště by měly mít šifrování infrastruktury.	Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát.	Audit, Odepřít, Zakázáno	1.0.0
Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli.	Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů.	Audit, Odepřít, Zakázáno	1.0.1
transparentní šifrování dat v databázích SQL by měly být povolené	Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů.	AuditIfNotExists, zakázáno	2.0.0
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli.	Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe.	Audit, Odepřít, Zakázáno	1.0.0
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.	Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, zakázáno	2.0.3

Kryptografická ochrana

ID: NIST SP 800-53 Rev. 5 SC-28 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Služba App Service Environment by měla mít povolené interní šifrování.	Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu .	Audit, zakázáno	1.0.1
Proměnné účtu Automation by měly být šifrované.	Při ukládánícitlivýchch	Audit, Odepřít, Zakázáno	1.1.0
Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení.	Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat.	Audit, Odepřít, Zakázáno	1.0.0
Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování).	Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Zařízení Azure Stack Edge by měla používat dvojité šifrování	Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Šifrování disků by mělo být povolené v Azure Data Exploreru.	Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů.	Audit, Odepřít, Zakázáno	2.0.0
V Azure Data Exploreru by se mělo povolit dvojité šifrování.	Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů.	Audit, Odepřít, Zakázáno	2.0.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury.	Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2.	Audit, Odepřít, Zakázáno	1.0.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury.	Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2.	Audit, Odepřít, Zakázáno	1.0.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.	Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané.	Audit, Odepřít, Zakázáno	1.1.0
Účty úložiště by měly mít šifrování infrastruktury.	Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát.	Audit, Odepřít, Zakázáno	1.0.0
Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli.	Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů.	Audit, Odepřít, Zakázáno	1.0.1
transparentní šifrování dat v databázích SQL by měly být povolené	Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů.	AuditIfNotExists, zakázáno	2.0.0
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli.	Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe.	Audit, Odepřít, Zakázáno	1.0.0
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.	Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, zakázáno	2.0.3

Izolace procesů

ID: NIST SP 800-53 Rev. 5 SC-39 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Údržba samostatných spouštěcích domén pro spuštěné procesy	CMA_C1665 – Údržba samostatných spouštěcích domén pro spuštěné procesy	Ručně, zakázáno	1.1.0

Integrita systému a informací

Zásady a postupy

ID: NIST SP 800-53 Rev. 5 SI-1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Kontrola a aktualizace zásad a postupů integrity informací	CMA_C1667 – Kontrola a aktualizace zásad a postupů integrity informací	Ručně, zakázáno	1.1.0

Náprava chyb

ID: NIST SP 800-53 Rev. 5 SI-2 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.	Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás.	AuditIfNotExists, zakázáno	3.0.0
Aplikace app Service by měly používat nejnovější verzi HTTP.	Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze.	AuditIfNotExists, zakázáno	4.0.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Aplikace funkcí by měly používat nejnovější verzi HTTP.	Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze.	AuditIfNotExists, zakázáno	4.0.0
Začlenění nápravy chyb do správy konfigurace	CMA_C1671 – Začlenění nápravy chyb do správy konfigurace	Ručně, zakázáno	1.1.0
Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná.	Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+	Audit, zakázáno	1.0.2
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení	Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze.	AuditIfNotExists, zakázáno	4.1.0
Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat.	Umožňuje auditovat, jestli chybí nějaké aktualizace zabezpečení systému nebo důležité aktualizace, které by se měly nainstalovat, aby bylo jisté, že škálovací sady virtuálních počítačů s Windows a Linuxem jsou zabezpečené.	AuditIfNotExists, zakázáno	3.0.0
Na počítačích by se měly nainstalovat aktualizace systému.	Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení.	AuditIfNotExists, zakázáno	4.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.	Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení.	AuditIfNotExists, zakázáno	3.1.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů.	Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky.	AuditIfNotExists, zakázáno	3.0.0

Automatizovaný stav nápravy chyb

ID: NIST SP 800-53 Rev. 5 SI-2 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace nápravy chyb	CMA_0027 – Automatizace nápravy chyb	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0

Doba nápravy chyb a srovnávacích testů pro opravné akce

ID: NIST SP 800-53 Rev. 5 SI-2 (3) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Stanovení srovnávacích testů pro nápravu chyb	CMA_C1675 – stanovení srovnávacích testů pro nápravu chyb	Ručně, zakázáno	1.1.0
Měření doby mezi identifikací chyb a nápravou chyb	CMA_C1674 – měření doby mezi identifikací chyb a nápravou chyb	Ručně, zakázáno	1.1.0

Odebrání předchozích verzí softwaru a firmwaru

ID: NIST SP 800-53 Rev. 5 SI-2 (6) Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Aplikace app Service by měly používat nejnovější verzi HTTP.	Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze.	AuditIfNotExists, zakázáno	4.0.0
Aplikace funkcí by měly používat nejnovější verzi HTTP.	Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze.	AuditIfNotExists, zakázáno	4.0.0
Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná.	Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+	Audit, zakázáno	1.0.2

Ochrana škodlivého kódu

ID: NIST SP 800-53 Rev. 5 SI-3 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	Ručně, zakázáno	1.1.0
Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů.	Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení.	AuditIfNotExists, zakázáno	3.0.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center	Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Týdenní kontrola detekce malwaru	CMA_0475 – týdenní kontrola zpráv o detekcích malwaru	Ručně, zakázáno	1.1.0
Týdenní kontrola stavu ochrany před hrozbami	CMA_0479 – týdenní kontrola stavu ochrany před hrozbami	Ručně, zakázáno	1.1.0
Aktualizace definic antivirového softwaru	CMA_0517 – Aktualizace definic antivirové ochrany	Ručně, zakázáno	1.1.0
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená.	Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows).	AuditIfNotExists, zakázáno	2.0.0

Monitorování systému

ID: NIST SP 800-53 Rev. 5 SI-4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud.	Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, zakázáno	6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem.	Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc	Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics.	Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure.	AuditIfNotExists, zakázáno	1.0.1
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Azure Defender for Resource Manager by měl být povolený.	Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery.	Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat.	AuditIfNotExists, zakázáno	1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.	Audit sql serverů bez rozšířeného zabezpečení dat	AuditIfNotExists, zakázáno	2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL.	Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat.	AuditIfNotExists, zakázáno	1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.	Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	1.0.3
Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center.	Tato zásada provede audit všech virtuálních počítačů s Windows nebo Linuxem, pokud není nainstalovaný agent Log Analytics, který Security Center používá k monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů pro monitorování služby Azure Security Center.	Security Center shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb.	AuditIfNotExists, zakázáno	1.0.0
Měla by být povolená služba Microsoft Defender for Containers.	Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes.	AuditIfNotExists, zakázáno	1.0.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Získání právního stanoviska k monitorování systémových aktivit	CMA_C1688 – získání právního stanoviska k monitorování systémových činností	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Podle potřeby zadejte informace o monitorování.	CMA_C1689 – podle potřeby poskytovat informace o monitorování	Ručně, zakázáno	1.1.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.	Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol	AuditIfNotExists, zakázáno	1.0.1

Automatizované nástroje a mechanismy pro analýzu v reálném čase

ID: NIST SP 800-53 Rev. 5 SI-4 (2) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů	CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů	Ručně, zakázáno	1.1.0

Příchozí a odchozí komunikační provoz

ID: NIST SP 800-53 Rev. 5 SI-4 (4) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace, monitorování a řízení voip	CMA_0025 – Autorizace, monitorování a řízení voip	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Směrování provozu přes spravované síťové přístupové body	CMA_0484 – Směrování provozu přes spravované síťové přístupové body	Ručně, zakázáno	1.1.0

Upozornění generovaná systémem

ID: NIST SP 800-53 Rev. 5 SI-4 (5) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pracovníci upozornění na přelití informací	CMA_0007 – pracovníci upozornění na únik informací	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	Ručně, zakázáno	1.1.0

Automatizovaná upozornění generovaná organizací

ID: NIST SP 800-53 Rev. 5 SI-4 (12) Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.	Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	1.0.1
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.	Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	2.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením	Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center.	AuditIfNotExists, zakázáno	1.0.1

Detekce bezdrátového vniknutí

ID: NIST SP 800-53 Rev. 5 SI-4 (14) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat řízení zabezpečení bezdrátového přístupu	CMA_C1695 – zdokumentovat řízení zabezpečení bezdrátového přístupu	Ručně, zakázáno	1.1.0

Neoprávněné síťové služby

ID: NIST SP 800-53 Rev. 5 SI-4 (22) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zjištění síťových služeb, které nebyly autorizované nebo schválené	CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené	Ručně, zakázáno	1.1.0

Indikátory ohrožení zabezpečení

ID: NIST SP 800-53 Rev. 5 SI-4 (24) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zjištění indikátorů ohrožení zabezpečení	CMA_C1702 – objevte všechny indikátory ohrožení zabezpečení	Ručně, zakázáno	1.1.0

Výstrahy zabezpečení, informační zpravodaje a direktivy

ID: NIST SP 800-53 Rev. 5 SI-5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Šíření výstrah zabezpečení pracovníkům	CMA_C1705 – Šíření výstrah zabezpečení pracovníkům	Ručně, zakázáno	1.1.0
Vytvoření programu analýzy hrozeb	CMA_0260 – Vytvoření programu analýzy hrozeb	Ručně, zakázáno	1.1.0
Generování interních výstrah zabezpečení	CMA_C1704 – Generování interních výstrah zabezpečení	Ručně, zakázáno	1.1.0
Implementace direktiv zabezpečení	CMA_C1706 – Implementace direktiv zabezpečení	Ručně, zakázáno	1.1.0

Automatizované výstrahy a informační zpravodaje

ID: NIST SP 800-53 Rev. 5 SI-5 (1) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití automatizovaných mechanismů pro výstrahy zabezpečení	CMA_C1707 – Použití automatizovaných mechanismů pro výstrahy zabezpečení	Ručně, zakázáno	1.1.0

Ověření funkce zabezpečení a ochrany osobních údajů

ID: NIST SP 800-53 Rev. 5 SI-6 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vytvoření alternativních akcí pro identifikované anomálie	CMA_C1711 – Vytvoření alternativních akcí pro identifikované anomálie	Ručně, zakázáno	1.1.0
Upozorněte pracovníky na neúspěšné testy ověření zabezpečení.	CMA_C1710 – informujte pracovníky o neúspěšných testech ověření zabezpečení.	Ručně, zakázáno	1.1.0
Ověření bezpečnostní funkce s definovanou frekvencí	CMA_C1709 – provedení ověření funkce zabezpečení s definovanou frekvencí	Ručně, zakázáno	1.1.0
Ověření funkcí zabezpečení	CMA_C1708 – Ověření funkcí zabezpečení	Ručně, zakázáno	1.1.0

Integrita softwaru, firmwaru a informací

ID: NIST SP 800-53 Rev. 5 SI-7 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0

Kontroly integrity

ID: NIST SP 800-53 Rev. 5 SI-7 (1) Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0
Zobrazení a konfigurace diagnostických dat systému	CMA_0544 – Zobrazení a konfigurace diagnostických dat systému	Ručně, zakázáno	1.1.0

Automatizovaná reakce na porušení integrity

ID: NIST SP 800-53 Rev. 5 SI-7 (5) Vlastnictví: sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Použití automatického vypnutí/restartování při zjištění porušení	CMA_C1715 – Použití automatického vypnutí/restartování při zjištění porušení	Ručně, zakázáno	1.1.0

Ověření vstupu informací

ID: NIST SP 800-53 Rev. 5 SI-10 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření vstupu informací	CMA_C1723 – provedení ověření vstupu informací	Ručně, zakázáno	1.1.0

Zpracování chyb

ID: NIST SP 800-53 Rev. 5 SI-11 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Generování chybových zpráv	CMA_C1724 – Generování chybových zpráv	Ručně, zakázáno	1.1.0
Zobrazení chybových zpráv	CMA_C1725 – zobrazení chybových zpráv	Ručně, zakázáno	1.1.0

Správa a uchovávání informací

ID: NIST SP 800-53 Rev. 5 SI-12 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat	CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat	Ručně, zakázáno	1.1.0
Kontrola aktivity a analýzy popisků	CMA_0474 – Kontrola aktivit a analýz popisků	Ručně, zakázáno	1.1.0

Ochrana paměti

ID: NIST SP 800-53 Rev. 5 SI-16 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená.	Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows).	AuditIfNotExists, zakázáno	2.0.0

Další kroky

Další články o službě Azure Policy:

Přehled dodržování právních předpisů
Podívejte se na strukturu definice iniciativy.
Projděte si další příklady v ukázkách služby Azure Policy.
Projděte si Vysvětlení efektů zásad.
Zjistěte, jak napravit nevyhovující prostředky.

Podrobnosti o integrované iniciativě NIST SP 800-53 Rev. 5 Dodržování právních předpisů

Řízení přístupu

Zásady a postupy

Správa účtů

Automatizovaná správa účtů systému

Zakázání účtů

Automatizované akce auditu

Odhlášení nečinnosti

Privilegované uživatelské účty

Omezení používání sdílených a skupinových účtů

Podmínky použití

Monitorování účtů pro atypické využití

Zakázání účtů pro vysoce rizikové jednotlivce

Vynucení přístupu

Řízení přístupu na základě role

Vynucení toku informací

Řízení toku dynamických informací

Filtry zásad zabezpečení a ochrany osobních údajů

Fyzické nebo logické oddělení informačních toků

Oddělení povinností

Nejnižší oprávnění

Autorizace přístupu k funkcím zabezpečení

Privilegované účty

Kontrola uživatelských oprávnění

Úrovně oprávnění pro spouštění kódu

Použití privilegovaných funkcí v protokolu

Neúspěšné pokusy o přihlášení

Řízení souběžné relace

Ukončení relace

Odhlášení iniciované uživatelem

Povolené akce bez identifikace nebo ověřování

Atributy zabezpečení a ochrany osobních údajů

Vzdálený přístup

Monitorování a řízení

Ochrana důvěrnosti a integrity pomocí šifrování

Spravované body řízení přístupu

Privilegované příkazy a přístup

Odpojení nebo zakázání přístupu

Bezdrátový přístup

Ověřování a šifrování

Řízení přístupu pro mobilní zařízení

Úplné šifrování na základě zařízení nebo kontejneru

Použití externích systémů

Omezení autorizovaného použití

??? přenosných úložných zařízení Omezené použití

Sdílení informací

Veřejně přístupný obsah

Povědomí a školení

Zásady a postupy

Vzdělávání a povědomí o gramotnosti

Insider Threat

Trénování na základě rolí

Praktická cvičení

Trénovací záznamy

Audit a odpovědnost

Zásady a postupy

Protokolování událostí

Obsah záznamů auditu

Další informace o auditu

Kapacita úložiště protokolů auditu

Reakce na selhání procesu protokolování auditu

Výstrahy v reálném čase

Kontrola, analýza a generování sestav záznamů auditu

Automatizovaná integrace procesů

Korelace úložišť záznamů auditu

Centrální kontrola a analýza

Integrovaná analýza záznamů auditu

Povolené akce

Snížení počtu záznamů auditu a generování sestav

Automatické zpracování

Časová razítka

Ochrana informací o auditu

Ukládání na samostatné fyzické systémy nebo komponenty

Kryptografická ochrana

Přístup podmnožinou privilegovaných uživatelů

Neodvolatelnost

Uchovávání záznamů auditu

Generování záznamů auditu

Systémová a časová korelace záznamu auditu

Změny autorizovanými jednotlivci