Podrobnosti o integrované iniciativě PCI DSS 3.2.1 Dodržování právních předpisů
Následující článek podrobně popisuje, jak se předdefinované definice iniciativy Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v PCI DSS 3.2.1. Další informace o této normě dodržování předpisů naleznete v tématu PCI DSS 3.2.1. Informace o vlastnictví najdete v tématu Definice zásad Azure Policy a Sdílená odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky PCI DSS 3.2.1 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte pcI v3.2.1:2018 Dodržování právních předpisů integrovanou definici iniciativy.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Požadavek 1
Požadavek PCI DSS 1.3.2
ID: PCI DSS v3.2.1 1 1.3.2 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
Požadavek PCI DSS 1.3.4
ID: PCI DSS v3.2.1 1 1.3.4 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
Požadavek 10
Požadavek PCI DSS 10.5.4
ID: PCI DSS v3.2.1 10.5.4 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit nastavení diagnostiky pro vybrané typy prostředků | Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. | AuditIfNotExists | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Požadavek 11
Požadavek PCI DSS 11.2.1
ID: PCI DSS v3.2.1 1 11.2.1 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Požadavek 3
Požadavek PCI DSS 3.2
ID: PCI DSS v3.2.1 3.2 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Požadavek PCI DSS 3.4
ID: PCI DSS v3.2.1 3.4 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Požadavek 4
Požadavek PCI DSS 4.1
ID: PCI DSS v3.2.1 4.1 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Požadavek 5
Požadavek PCI DSS 5.1
ID: PCI DSS v3.2.1 5.1 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Požadavek 6
Požadavek PCI DSS 6.2
ID: PCI DSS v3.2.1 6.2 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Požadavek PCI DSS 6.5.3
ID: PCI DSS v3.2.1 6.5.3 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Požadavek PCI DSS 6.6
ID: PCI DSS v3.2.1 6.6 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Na počítačích by se měly nainstalovat aktualizace systému. | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Požadavek 7
Požadavek PCI DSS 7.1.1
ID: PCI DSS v3.2.1 7.1.1 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Požadavek PCI DSS 7.1.2
ID: PCI DSS v3.2.1 7.1.2 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Požadavek PCI DSS 7.1.3
ID: PCI DSS v3.2.1 7.1.3 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Požadavek PCI DSS 7.2.1
ID: PCI DSS v3.2.1 7.2.1 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Požadavek 8
Požadavek PCI DSS 8.1.2
ID: PCI DSS v3.2.1 8.1.2 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Požadavek PCI DSS 8.1.3
ID: PCI DSS v3.2.1 8.1.3 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Požadavek PCI DSS 8.1.5
ID: PCI DSS v3.2.1 8.1.5 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Požadavek PCI DSS 8.2.3
ID: PCI DSS v3.2.1 8.2.3 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Požadavek PCI DSS 8.2.5
ID: PCI DSS v3.2.1 8.2.5 Vlastnictví: zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Požadavek PCI DSS 8.3.1
ID: PCI DSS v3.2.1 8.3.1 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.