Sdílet prostřednictvím


Podrobnosti integrované iniciativy RMIT Malaysia Pro dodržování právních předpisů

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v RMIT Malajsie. Další informace o této normě dodržování předpisů naleznete v tématu RMIT Malajsie. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.

Následující mapování jsou na kontrolní mechanismy RMIT Malaysia . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definici iniciativy RMIT Malaysia Regulatory Compliance.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Kryptografie

Kryptografie – 10.16

ID: Vlastnictví RMiT 10.16: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. Škodlivé odstranění spravovaného HSM služby Azure Key Vault může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit spravovaný HSM služby Azure Key Vault. Ochrana před vymazáním chrání před vnitřními útoky tím, že vynucuje povinnou dobu uchovávání pro obnovitelné odstranění spravovaného HSM služby Azure Key Vault. Nikdo ve vaší organizaci ani Microsoft nebude moct během doby uchovávání obnovitelného odstranění vyprázdnit spravovaný HSM služby Azure Key Vault. Audit, Odepřít, Zakázáno 1.0.0
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Trezory klíčů by měly mít povolenou ochranu před odstraněním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. Audit, Odepřít, Zakázáno 2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
Účty úložiště by měly mít šifrování infrastruktury. Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. Audit, Odepřít, Zakázáno 1.0.0
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

Kryptografie – 10.19

ID: RMiT 10.19 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Služba Key Vault by měla používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1

Kryptografie – 10.20

ID: RMiT 10.20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. Audit, zakázáno 3.1.0 zastaralé
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. AuditIfNotExists, zakázáno 1.0.0

Provoz datacentra

Provoz datacentra – 10.27

ID: RMiT 10.27 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. DeployIfNotExists, zakázáno 3.1.0
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Audit, Odepřít, Zakázáno 1.0.0

Provoz datacentra – 10.30

ID: RMiT 10.30 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro virtuální počítače by měla být povolená služba Azure Backup. Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0

Odolnost sítě

Odolnost sítě – 10.33

ID: RMiT 10.33 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Všechny prostředky protokolu toku by měly být ve stavu povoleného. Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Služby API Management by měly používat virtuální síť. Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, Odepřít, Zakázáno 1.0.2
Skupina kontejnerů služby Azure Container Instance by se měla nasadit do virtuální sítě. Zabezpečená komunikace mezi kontejnery pomocí virtuálních sítí Azure Když zadáte virtuální síť, prostředky ve virtuální síti můžou mezi sebou bezpečně a soukromě komunikovat. Audit, Zakázáno, Odepřít 2.0.0
Brány Azure VPN by neměly používat skladovou položku Basic. Tato zásada zajišťuje, že brány VPN nepoužívají skladovou položku Basic. Audit, zakázáno 1.0.0
Konfigurace konfigurace aplikace pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro Službu App Configuration, aby nebyl přístupný přes veřejný internet. Tato konfigurace pomáhá chránit je před riziky úniku dat. Místo toho můžete omezit vystavení prostředků vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. Upravit, zakázáno 1.0.0
Konfigurace Azure SQL Serveru pro zakázání přístupu k veřejné síti Zakázání vlastnosti přístupu k veřejné síti vypne veřejné připojení, aby k Azure SQL Serveru bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup k veřejné síti pro všechny databáze v rámci Azure SQL Serveru. Upravit, zakázáno 1.0.0
Konfigurace Azure SQL Serveru pro povolení připojení privátního koncového bodu Připojení privátního koncového bodu umožňuje privátní připojení ke službě Azure SQL Database prostřednictvím privátní IP adresy ve virtuální síti. Tato konfigurace zlepšuje stav zabezpečení a podporuje síťové nástroje a scénáře Azure. DeployIfNotExists, zakázáno 1.0.0
Konfigurace registrů kontejnerů pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro prostředek Container Registry, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete na https://aka.ms/acr/portal/public-network adrese a https://aka.ms/acr/private-link. Upravit, zakázáno 1.0.0
Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro prostředek spravovaného disku, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. Upravit, zakázáno 2.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet Audit, Odepřít, Zakázáno 2.0.0
Cosmos DB by měl používat koncový bod služby virtuální sítě. Tato zásada audituje jakoukoli službu Cosmos DB, která není nakonfigurovaná tak, aby používala koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Centrum událostí by mělo používat koncový bod služby virtuální sítě. Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.0
Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Spravované disky by měly zakázat přístup k veřejné síti Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že spravovaný disk není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení spravovaných disků. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. Audit, zakázáno 2.0.0
Úprava – Konfigurace Synchronizace souborů Azure pro zakázání přístupu k veřejné síti Veřejný koncový bod přístupný z internetu Synchronizace souborů Azure jsou zakázány zásadami vaší organizace. Ke službě Synchronizace úložiště můžete stále přistupovat prostřednictvím jeho privátních koncových bodů. Upravit, zakázáno 1.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti by měl být pro registry kontejnerů zakázaný. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby se registry kontejnerů nezpřístupněly na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení prostředků registru kontejnerů. Další informace najdete v: https://aka.ms/acr/portal/public-network a https://aka.ms/acr/private-link. Audit, Odepřít, Zakázáno 1.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače by měly být připojené ke schválené virtuální síti. Tato zásada provede audit všech virtuálních počítačů připojených k virtuální síti, která není schválena. Audit, Odepřít, Zakázáno 1.0.0
Virtuální sítě by měly používat zadanou bránu virtuální sítě. Tato zásada provede audit všech virtuálních sítí, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. AuditIfNotExists, zakázáno 1.0.0

Odolnost sítě – 10.35

ID: RMiT 10.35 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Nasazení – Konfigurace rozšíření Log Analytics pro povolení ve škálovacích sadách virtuálních počítačů s Windows Nasaďte rozšíření Log Analytics pro škálovací sady virtuálních počítačů s Windows, pokud je image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. Pokud je upgrade škálovací sady nastaven na Ruční, musíte rozšíření použít na všechny virtuální počítače v sadě aktualizací. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. DeployIfNotExists, zakázáno 3.1.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0

Odolnost sítě – 10.38

ID: RMiT 10.38 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s vlastním pracovním prostorem. Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných pro monitorování a shromažďování dat zabezpečení pomocí vlastního pracovního prostoru. DeployIfNotExists, zakázáno 1.0.0
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s výchozím pracovním prostorem. Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných, abyste mohli monitorovat a shromažďovat data zabezpečení pomocí výchozího pracovního prostoru ASC. DeployIfNotExists, zakázáno 1.0.0

Odolnost sítě – 10.39

ID: RMiT 10.39 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 Audit, zakázáno 1.0.0
SQL Server by měl používat koncový bod služby virtuální sítě. Tato zásada audituje jakýkoli SQL Server, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.0
Účty úložiště by měly používat koncový bod služby virtuální sítě. Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0

Cloud Services

Cloud Services – 10.49

ID: RMiT 10.49 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditovat umístění prostředků odpovídá umístění skupiny prostředků Auditování, že umístění prostředku odpovídá umístění skupiny prostředků audit 2.0.0
Pro databázové servery PostgreSQL by se mělo povolit omezování připojení. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povoleného omezování připojení. Toto nastavení umožňuje dočasné omezování připojení na IP adresu pro příliš mnoho neplatných selhání přihlášení pomocí hesla. AuditIfNotExists, zakázáno 1.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Sql Database by se měla vyhnout použití redundance zálohování GRS Databáze by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. Odepřít, zakázáno 2.0.0
Spravované instance SQL by se měly vyhnout použití redundance zálohování GRS Spravované instance by se měly vyhnout použití výchozího geograficky redundantního úložiště pro zálohy, pokud pravidla rezidence dat vyžadují, aby data zůstala v určité oblasti. Poznámka: Azure Policy se nevynucuje při vytváření databáze pomocí T-SQL. Pokud není explicitně zadáno, vytvoří se databáze s geograficky redundantním úložištěm zálohování prostřednictvím T-SQL. Odepřít, zakázáno 2.0.0

Cloud Services – 10.51

ID: RMiT 10.51 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. Použití geografické redundance k vytváření vysoce dostupných aplikací Audit, zakázáno 1.0.0
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. AuditIfNotExists, zakázáno 2.0.0

Cloud Services – 10.53

ID: RMiT 10.53 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace aplikace by měla používat klíč spravovaný zákazníkem. Klíče spravované zákazníkem poskytují rozšířenou ochranu dat tím, že umožňují spravovat šifrovací klíče. To se často vyžaduje ke splnění požadavků na dodržování předpisů. Audit, Odepřít, Zakázáno 1.1.0
Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, Zakázáno, Odepřít 1.0.0
Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2
Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. Audit, zakázáno 1.0.0
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Audit, Zakázáno, Odepřít 2.0.0
Spravované disky by měly pro šifrování klíče spravovaného zákazníkem používat konkrétní sadu šifrovacích sad disků. Vyžadování konkrétní sady šifrování disků, které se mají používat se spravovanými disky, vám umožňují řídit klíče používané k šifrování neaktivních uložených dat. Můžete vybrat povolené šifrované sady a všechny ostatní se při připojení k disku zamítnou. Další informace najdete na adrese https://aka.ms/disks-cmk. Audit, Odepřít, Zakázáno 2.0.0
Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. Audit, Odepřít, Zakázáno 3.0.0
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1
Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. AuditIfNotExists, zakázáno 1.0.0
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, zakázáno 1.0.3

Řízení přístupu

Řízení přístupu – 10.54

ID: RMiT 10.54 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Konfigurace aplikace by měla zakázat přístup k veřejné síti Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete omezit vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. Audit, Odepřít, Zakázáno 1.0.0
Aplikace služby App Service by měly mít povolené ověřování. Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. AuditIfNotExists, zakázáno 2.0.1
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Aplikace funkcí by měly mít povolené ověřování. Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.4
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Řízení přístupu – 10.55

ID: RMiT 10.55 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Pravidla autorizace pro instanci centra událostí by měla být definována. Audit existence autorizačních pravidel pro entity centra událostí za účelem udělení nejméně privilegovaného přístupu AuditIfNotExists, zakázáno 1.0.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.3.0
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.2.0
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 7.2.0
Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. Audit, Odepřít, Zakázáno 1.0.0

Řízení přístupu – 10.58

ID: RMiT 10.58 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0

Řízení přístupu – 10.60

ID: RMiT 10.60 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.4

Řízení přístupu – 10.61

ID: RMiT 10.61 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.4
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Řízení přístupu – 10.62

ID: RMiT 10.62 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.4

Správa systému opravy a ukončení životnosti

Patch and End-of-Life System Management - 10.63

ID: RMiT 10.63 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. AuditIfNotExists, zakázáno 1.0.0

Patch and End-of-Life System Management - 10.65

ID: RMiT 10.65 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ Audit, zakázáno 1.0.2

Zabezpečení digitálních služeb

Zabezpečení digitálních služeb - 10.66

ID: RMiT 10.66 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). AuditIfNotExists, zakázáno 1.0.0
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Audit nastavení diagnostiky pro vybrané typy prostředků Auditovat nastavení diagnostiky pro vybrané typy prostředků Nezapomeňte vybrat pouze typy prostředků, které podporují nastavení diagnostiky. AuditIfNotExists 2.0.1
Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. AuditIfNotExists, zakázáno 1.0.0
Protokoly služby Azure Monitor pro Application Insights by se měly propojit s pracovním prostorem služby Log Analytics. Propojte komponentu Application Insights s pracovním prostorem služby Log Analytics pro šifrování protokolů. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k vašim datům ve službě Azure Monitor. Propojení komponenty s pracovním prostorem služby Log Analytics, který je povolený pomocí klíče spravovaného zákazníkem, zajišťuje, aby protokoly Application Insights splňovaly tento požadavek na dodržování předpisů, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. AuditIfNotExists, zakázáno 2.0.0
Předplatná Azure by měla mít profil protokolu pro protokol aktivit. Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. AuditIfNotExists, zakázáno 1.0.0
Nasazení – Konfigurace nastavení diagnostiky pro databáze SQL do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro služby SQL Database pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba SQL Database, která neobsahuje toto nastavení diagnostiky. DeployIfNotExists, zakázáno 4.0.0
Nasazení – Konfigurace rozšíření Log Analytics pro povolení na virtuálních počítačích s Windows Nasaďte rozšíření Log Analytics pro virtuální počítače s Windows, pokud je image virtuálního počítače v seznamu definovaném a rozšíření není nainstalované. Oznámení o vyřazení: Agent Log Analytics je na cestě vyřazení a po 31. srpnu 2024 se nepodporuje. Před tímto datem musíte provést migraci na náhradního agenta Azure Monitoru. DeployIfNotExists, zakázáno 3.1.0
Nasazení nastavení diagnostiky pro účet Batch do centra událostí Nasadí nastavení diagnostiky pro účet Batch pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakýkoli účet Batch, který chybí. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro účet Batch do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro účet Batch pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakýkoli účet Batch, který chybí. DeployIfNotExists, zakázáno 1.1.0
Nasazení nastavení diagnostiky pro Data Lake Analytics do centra událostí Nasadí nastavení diagnostiky pro Data Lake Analytics pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Data Lake Analytics, která chybí. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Data Lake Analytics do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Data Lake Analytics pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Data Lake Analytics, která chybí. DeployIfNotExists, zakázáno 1.0.0
Nasazení nastavení diagnostiky pro Data Lake Storage Gen1 do centra událostí Nasadí nastavení diagnostiky pro Data Lake Storage Gen1 pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli data Lake Storage Gen1, u které chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Data Lake Storage Gen1 do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Data Lake Storage Gen1 pro streamování do místního pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakékoli nastavení diagnostiky Data Lake Storage Gen1, které chybí. DeployIfNotExists, zakázáno 1.0.0
Nasazení nastavení diagnostiky pro centrum událostí do centra událostí Nasadí nastavení diagnostiky pro centrum událostí pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakékoli centrum událostí, ve kterém chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 2.1.0
Nasazení nastavení diagnostiky pro centrum událostí do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro centrum událostí pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakékoli centrum událostí, ve kterém chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Službu Key Vault do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Službu Key Vault pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Key Vault, u které chybí tato nastavení diagnostiky. DeployIfNotExists, zakázáno 3.0.0
Nasazení nastavení diagnostiky pro Logic Apps do centra událostí Nasadí nastavení diagnostiky pro Logic Apps pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Logic Apps, u které chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Logic Apps do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Logic Apps pro streamování do místního pracovního prostoru služby Log Analytics, když se vytvoří nebo aktualizuje jakákoli služba Logic Apps, u které chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 1.0.0
Nasazení nastavení diagnostiky pro Vyhledávací služby do centra událostí Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, která chybí. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Vyhledávací služby do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Službu Search Services pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Search Services, u které chybí toto nastavení diagnostiky. DeployIfNotExists, zakázáno 1.0.0
Nasazení nastavení diagnostiky pro Service Bus do centra událostí Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního centra událostí, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Service Bus do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky služby Service Bus pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Service Bus, která chybí. DeployIfNotExists, zakázáno 2.1.0
Nasazení nastavení diagnostiky pro Stream Analytics do centra událostí Nasadí nastavení diagnostiky pro Stream Analytics pro streamování do místního centra událostí, když se vytvoří nebo aktualizuje jakákoli služba Stream Analytics, která chybí. DeployIfNotExists, zakázáno 2.0.0
Nasazení nastavení diagnostiky pro Stream Analytics do pracovního prostoru služby Log Analytics Nasadí nastavení diagnostiky pro Stream Analytics pro streamování do místního pracovního prostoru služby Log Analytics, pokud se vytvoří nebo aktualizuje jakákoli služba Stream Analytics, která chybí. DeployIfNotExists, zakázáno 1.0.0
Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované. AuditIfNotExists, zakázáno 2.0.1
Protokoly prostředků ve spravovaném HSM služby Azure Key Vault by měly být povolené. Pokud chcete znovu vytvořit záznamy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo když dojde k ohrožení sítě, můžete chtít auditovat povolením protokolů prostředků ve spravovaných HSM. Postupujte podle zde uvedených pokynů: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, zakázáno 1.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1
Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1

Zabezpečení digitálních služeb - 10.68

ID: RMiT 10.68 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0

Distribuovaný odepření služby (DDoS)

Distribuovaný odepření služby (DDoS) – 11.13

ID: RMiT 11.13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2

Ochrana před únikem informací (DLP)

Ochrana před únikem informací (DLP) – 11.15

ID: RMiT 11.15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. Škodlivé odstranění spravovaného HSM služby Azure Key Vault může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit spravovaný HSM služby Azure Key Vault. Ochrana před vymazáním chrání před vnitřními útoky tím, že vynucuje povinnou dobu uchovávání pro obnovitelné odstranění spravovaného HSM služby Azure Key Vault. Nikdo ve vaší organizaci ani Microsoft nebude moct během doby uchovávání obnovitelného odstranění vyprázdnit spravovaný HSM služby Azure Key Vault. Audit, Odepřít, Zakázáno 1.0.0
Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Konfigurace konfigurace aplikace pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro Službu App Configuration, aby nebyl přístupný přes veřejný internet. Tato konfigurace pomáhá chránit je před riziky úniku dat. Místo toho můžete omezit vystavení prostředků vytvořením privátních koncových bodů. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. Upravit, zakázáno 1.0.0
Konfigurace Azure SQL Serveru pro zakázání přístupu k veřejné síti Zakázání vlastnosti přístupu k veřejné síti vypne veřejné připojení, aby k Azure SQL Serveru bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup k veřejné síti pro všechny databáze v rámci Azure SQL Serveru. Upravit, zakázáno 1.0.0
Konfigurace registrů kontejnerů pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro prostředek Container Registry, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete na https://aka.ms/acr/portal/public-network adrese a https://aka.ms/acr/private-link. Upravit, zakázáno 1.0.0
Konfigurace spravovaných disků pro zakázání přístupu k veřejné síti Zakažte přístup k veřejné síti pro prostředek spravovaného disku, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. Upravit, zakázáno 2.0.0
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Trezory klíčů by měly mít povolenou ochranu před odstraněním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. Audit, Odepřít, Zakázáno 2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0
Spravované disky by měly zakázat přístup k veřejné síti Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že spravovaný disk není přístupný na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení spravovaných disků. Další informace najdete tady: https://aka.ms/disksprivatelinksdoc. Audit, zakázáno 2.0.0
Spravované disky by měly pro šifrování klíče spravovaného zákazníkem používat konkrétní sadu šifrovacích sad disků. Vyžadování konkrétní sady šifrování disků, které se mají používat se spravovanými disky, vám umožňují řídit klíče používané k šifrování neaktivních uložených dat. Můžete vybrat povolené šifrované sady a všechny ostatní se při připojení k disku zamítnou. Další informace najdete na adrese https://aka.ms/disks-cmk. Audit, Odepřít, Zakázáno 2.0.0
Úprava – Konfigurace Synchronizace souborů Azure pro zakázání přístupu k veřejné síti Veřejný koncový bod přístupný z internetu Synchronizace souborů Azure jsou zakázány zásadami vaší organizace. Ke službě Synchronizace úložiště můžete stále přistupovat prostřednictvím jeho privátních koncových bodů. Upravit, zakázáno 1.0.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

Security Operations Centre (SOC)

Security Operations Centre (SOC) – 11.17

ID: RMiT 11.17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0

Security Operations Centre (SOC) – 11.18

ID: RMiT 11.18 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Měla by být povolená služba Azure DDoS Protection. Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, zakázáno 3.0.1
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Pro databázové servery PostgreSQL by se měly protokolovat odpojení. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. AuditIfNotExists, zakázáno 1.0.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
Pro databázové servery PostgreSQL by měly být povolené kontrolní body protokolů. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_checkpoints nastavení. AuditIfNotExists, zakázáno 1.0.0
Pro databázové servery PostgreSQL by měla být povolená připojení protokolů. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_connections nastavení. AuditIfNotExists, zakázáno 1.0.0
Pro databázové servery PostgreSQL by se měla povolit doba trvání protokolu. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_duration nastavení. AuditIfNotExists, zakázáno 1.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Nastavení auditování SQL by mělo mít nakonfigurované skupiny akcí pro zachycení důležitých aktivit. Vlastnost AuditActionsAndGroups by měla obsahovat alespoň SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP, aby se zajistilo důkladné protokolování auditu. AuditIfNotExists, zakázáno 1.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Security Operations Centre (SOC) - 11.20

ID: RMiT 11.20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. Audit, Odepřít, Zakázáno 1.0.0

Správa kybernetických rizik

Cyber Risk Management – 11.2

ID: Vlastnictví RMiT 11.2: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. Audit, Odepřít, Zakázáno 1.0.0

Cyber Risk Management – 11.4

ID: RMiT 11.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace zálohování na virtuálních počítačích bez dané značky do existujícího trezoru služby Recovery Services ve stejném umístění Vynucujte zálohování pro všechny virtuální počítače tak, že je zálohujte do existujícího trezoru služby Recovery Services ve stejném umístění a předplatném jako virtuální počítač. To je užitečné, když ve vaší organizaci spravuje zálohy pro všechny prostředky v předplatném centrální tým. Volitelně můžete vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Viz třída https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.4.0
Nepovolené typy prostředků Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. Audit, Odepřít, Zakázáno 2.0.0
Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. Audit, Odepřít, Zakázáno 1.0.0

Operace kybernetické bezpečnosti

Operace kybernetické bezpečnosti – 11.5

ID: RMiT 11.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Nasazení Defenderu pro úložiště (Classic) v účtech úložiště Tato zásada povolí Defender for Storage (Classic) u účtů úložiště. DeployIfNotExists, zakázáno 1.0.1
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0

Operace kybernetické bezpečnosti – 11.8

ID: RMiT 11.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, zakázáno 3.0.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

Kontrolní opatření týkající se kybernetické bezpečnosti

Kontrolní opatření týkající se kybernetické bezpečnosti – dodatek 5.2

ID: RMiT Příloha 5.2 Vlastnictví: Zákazník

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.1.0

Kontrolní opatření týkající se kybernetické bezpečnosti – dodatek 5.3

ID: RMiT Příloha 5.3 Vlastnictví: Zákazník

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace app Service by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0

Kontrolní opatření týkající se kybernetické bezpečnosti – dodatek 5.5

ID: Příloha RMiT 5.5 Vlastnictví: Zákazník

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na všechna připojení brány virtuální sítě Azure se musí použít vlastní zásady IPsec/IKE. Tato zásada zajišťuje, že všechna připojení brány virtuální sítě Azure používají vlastní zásady protokolu Ipsec (Internet Protocol Security)/Internet Key Exchange(IKE). Podporované algoritmy a klíčové síly – https://aka.ms/AA62kb0 Audit, zakázáno 1.0.0
Clusterové služby Kubernetes by měly používat jenom povolené externí IP adresy. Použijte povolené externí IP adresy, abyste se vyhnuli potenciálnímu útoku (CVE-2020-8554) v clusteru Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.2.0

Kontrolní opatření týkající se kybernetické bezpečnosti – dodatek 5.6

ID: RMiT Příloha 5.6 Vlastnictví: Zákazník

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. Audit, Zakázáno, Odepřít 2.0.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Server MariaDB by měl používat koncový bod služby virtuální sítě. Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure Database for MariaDB a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud služba Azure Database for MariaDB používá koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.2
Server MySQL by měl používat koncový bod služby virtuální sítě. Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure Database for MySQL a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud se používá koncový bod služby pro virtuální síť Azure Database for MySQL. AuditIfNotExists, zakázáno 1.0.2
Server PostgreSQL by měl používat koncový bod služby virtuální sítě. Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do Služby Azure Database for PostgreSQL a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. Tato zásada poskytuje způsob, jak auditovat, pokud služba Azure Database for PostgreSQL používá koncový bod služby virtuální sítě. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro flexibilní servery MySQL zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k flexibilním serverům Azure Database for MySQL byl přístup pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.1.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP. Audit, Odepřít, Zakázáno 3.1.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.1
Spravovaná instance SQL by měla mít minimální verzi protokolu TLS verze 1.2. Nastavení minimální verze protokolu TLS na verzi 1.2 zlepšuje zabezpečení tím, že zajišťuje, aby ke službě SQL Managed Instance bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. Audit, zakázáno 1.0.1
Pravidlo brány firewall virtuální sítě ve službě Azure SQL Database by mělo být povolené pro povolení provozu ze zadané podsítě. Pravidla brány firewall založená na virtuální síti se používají k povolení provozu z konkrétní podsítě do služby Azure SQL Database a zároveň zajišťují, aby provoz zůstal v rámci hranice Azure. AuditIfNotExists 1.0.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0
Firewall webových aplikací (WAF) by měl používat zadaný režim služby Application Gateway. Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Application Gateway. Audit, Odepřít, Zakázáno 1.0.0
Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service. Vyžaduje, aby byl režim Detekce nebo Prevence aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. Audit, Odepřít, Zakázáno 1.0.0

Kontrolní opatření týkající se kybernetické bezpečnosti – dodatek 5.7

ID: Příloha RMiT 5.7 Vlastnictví: Zákazník

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Všechny prostředky protokolu toku by měly být ve stavu povoleného. Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Měla by být povolená služba Azure DDoS Protection. Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, zakázáno 3.0.1
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Konfigurace Azure SQL Serveru pro povolení připojení privátního koncového bodu Připojení privátního koncového bodu umožňuje privátní připojení ke službě Azure SQL Database prostřednictvím privátní IP adresy ve virtuální síti. Tato konfigurace zlepšuje stav zabezpečení a podporuje síťové nástroje a scénáře Azure. DeployIfNotExists, zakázáno 1.0.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.1.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. AuditIfNotExists, zakázáno 1.1.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Další kroky

Další články o službě Azure Policy: