Sdílet prostřednictvím


Podrobnosti o integrované iniciativě Dodržování právních předpisů (SOC) systému a organizací (SOC) 2

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Dodržování právních předpisů Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v systému a ovládacích prvcích organizace (SOC) 2. Další informace o této normě dodržování předpisů naleznete v tématu System and Organization Controls (SOC) 2. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky System and Organization Controls (SOC) 2 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definice iniciativy SOC 2 typu 2 pro dodržování právních předpisů.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Další kritéria pro dostupnost

Správa kapacity

ID: SOC 2 Type 2 A1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Plánování kapacity CMA_C1252 – Plánování kapacity Ručně, zakázáno 1.1.0

Ochrana životního prostředí, software, procesy zálohování dat a infrastruktura obnovení

ID: SOC 2 Type 2 A1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro virtuální počítače by měla být povolená služba Azure Backup. Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Použití automatického nouzového osvětlení CMA_0209 – použití automatického nouzového osvětlení Ručně, zakázáno 1.1.0
Vytvoření lokality pro alternativní zpracování CMA_0262 – Vytvoření lokality pro alternativní zpracování Ručně, zakázáno 1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Implementace metodologie penetračního testování CMA_0306 – implementace metodologie penetračního testování Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0
Instalace alarmového systému CMA_0338 – Instalace alarmového systému Ručně, zakázáno 1.1.0
Obnovení a rekonstituce prostředků po přerušení CMA_C1295 – obnovení a rekonstituce prostředků po přerušení Ručně, zakázáno 1.1.1
Spuštění útoků simulace CMA_0486 – Spuštění útoků simulace Ručně, zakázáno 1.1.0
Samostatně ukládat informace o zálohování CMA_C1293 – Samostatně ukládat informace o zálohování Ručně, zakázáno 1.1.0
Přenos informací o zálohování do alternativní lokality úložiště CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště Ručně, zakázáno 1.1.0

Testování plánu obnovení

ID: SOC 2 Typ 2 A1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0
Zahájení nápravných akcí pro testování plánu nepředvídaných událostí CMA_C1263 – Zahájení nápravných akcí pro testování nepředvídaných plánů Ručně, zakázáno 1.1.0
Kontrola výsledků testování plánu nepředvídaných událostí CMA_C1262 – kontrola výsledků testování nepředvídaných plánů Ručně, zakázáno 1.1.0
Testování plánu provozní kontinuity a zotavení po havárii CMA_0509 – Testování plánu provozní kontinuity a zotavení po havárii Ručně, zakázáno 1.1.0

Další kritéria pro důvěrnost

Ochrana důvěrných informací

ID: SOC 2 Type 2 C1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Vyřazení důvěrných informací

ID: SOC 2 Type 2 C1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Řídicí prostředí

COSO – princip 1

ID: SOC 2 Typ 2 CC1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj přijatelných zásad a postupů použití CMA_0143 – Vývoj přijatelných zásad a postupů použití Ručně, zakázáno 1.1.0
Vývoj zásad chování organizace CMA_0159 – Vývoj zásad chování organizace Ručně, zakázáno 1.1.0
Zdokumentování přijetí požadavků na ochranu osobních údajů CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky Ručně, zakázáno 1.1.0
Vynucení pravidel chování a smluv o přístupu CMA_0248 – vynucování pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Zakázat nespravedlivé praktiky CMA_0396 – Zákaz nespravedlivých praktik Ručně, zakázáno 1.1.0
Kontrola a podepsání revidovaných pravidel chování CMA_0465 – Kontrola a podepsání revidovaných pravidel chování Ručně, zakázáno 1.1.0
Aktualizace pravidel chování a přístupových smluv CMA_0521 – aktualizace pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Aktualizace pravidel chování a přístupových smluv každých 3 roky CMA_0522 – aktualizace pravidel chování a přístupových smluv každých 3 roky Ručně, zakázáno 1.1.0

Princip COSO 2

ID: SOC 2 Typ 2 CC1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Jmenovat vedoucího pracovníka pro zabezpečení informací CMA_C1733 - Jmenovat vedoucího pracovníka pro bezpečnost informací Ručně, zakázáno 1.1.0
Vývoj a vytvoření plánu zabezpečení systému CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení Ručně, zakázáno 1.1.0
Implementace principů přípravy zabezpečení informačních systémů CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů Ručně, zakázáno 1.1.0

COSO – princip 3

ID: SOC 2 Typ 2 CC1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Jmenovat vedoucího pracovníka pro zabezpečení informací CMA_C1733 - Jmenovat vedoucího pracovníka pro bezpečnost informací Ručně, zakázáno 1.1.0
Vývoj a vytvoření plánu zabezpečení systému CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení Ručně, zakázáno 1.1.0
Implementace principů přípravy zabezpečení informačních systémů CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů Ručně, zakázáno 1.1.0

Princip COSO 4

ID: SOC 2 Typ 2 CC1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění pravidelného trénování zabezpečení na základě rolí CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí Ručně, zakázáno 1.1.0
Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení Ručně, zakázáno 1.1.0
Poskytnutí praktických cvičení založených na rolích CMA_C1096 – poskytování praktických cvičení založených na rolích Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení pro nové uživatele CMA_0419 – poskytování školení zabezpečení pro nové uživatele Ručně, zakázáno 1.1.0

COSO – princip 5

ID: SOC 2 Typ 2 CC1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj přijatelných zásad a postupů použití CMA_0143 – Vývoj přijatelných zásad a postupů použití Ručně, zakázáno 1.1.0
Vynucení pravidel chování a smluv o přístupu CMA_0248 – vynucování pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Implementace formálního procesu sankcí CMA_0317 – implementace formálního procesu sankcí Ručně, zakázáno 1.1.0
Upozornit pracovníky na sankce CMA_0380 – upozornit pracovníky na sankce Ručně, zakázáno 1.1.0

Komunikace a informace

Princip COSO 13

ID: SOC 2 Typ 2 CC2.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Princip COSO 14

ID: SOC 2 Typ 2 CC2.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj přijatelných zásad a postupů použití CMA_0143 – Vývoj přijatelných zásad a postupů použití Ručně, zakázáno 1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Vynucení pravidel chování a smluv o přístupu CMA_0248 – vynucování pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Zajištění pravidelného trénování zabezpečení na základě rolí CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí Ručně, zakázáno 1.1.0
Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení pro nové uživatele CMA_0419 – poskytování školení zabezpečení pro nové uživatele Ručně, zakázáno 1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Princip COSO 15

ID: SOC 2 Typ 2 CC2.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování povinností zpracovatelů CMA_0127 – definování povinností zpracovatelů Ručně, zakázáno 1.1.0
Doručování výsledků posouzení zabezpečení CMA_C1147 – Poskytování výsledků posouzení zabezpečení Ručně, zakázáno 1.1.0
Vývoj a vytvoření plánu zabezpečení systému CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému Ručně, zakázáno 1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení Ručně, zakázáno 1.1.0
Vytvoření požadavků na zabezpečení pracovníků třetích stran CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran Ručně, zakázáno 1.1.0
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Implementace principů přípravy zabezpečení informačních systémů CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů Ručně, zakázáno 1.1.0
Vytvoření sestavy posouzení zabezpečení CMA_C1146 – Vytvoření sestavy posouzení zabezpečení Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků Ručně, zakázáno 1.1.0
Omezení komunikace CMA_0449 – Omezení komunikace Ručně, zakázáno 1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Hodnocení rizika

COSO – princip 6

ID: SOC 2 Typ 2 CC3.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kategorizace informací CMA_0052 – kategorizace informací Ručně, zakázáno 1.1.0
Určení potřeb ochrany informací CMA_C1750 – Určení potřeb ochrany informací Ručně, zakázáno 1.1.0
Vývoj schémat obchodní klasifikace CMA_0155 – vývoj schémat obchodní klasifikace Ručně, zakázáno 1.1.0
Vývoj ZSP, který splňuje kritéria CMA_C1492 – Vývoj ZSP, který splňuje kritéria Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

COSO – princip 7

ID: SOC 2 Typ 2 CC3.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, zakázáno 3.0.0
Kategorizace informací CMA_0052 – kategorizace informací Ručně, zakázáno 1.1.0
Určení potřeb ochrany informací CMA_C1750 – Určení potřeb ochrany informací Ručně, zakázáno 1.1.0
Vývoj schémat obchodní klasifikace CMA_0155 – vývoj schémat obchodní klasifikace Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

COSO – princip 8

ID: SOC 2 Typ 2 CC3.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0

COSO – princip 9

ID: SOC 2 Type 2 CC3.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení rizika v relacích třetích stran CMA_0014 – Posouzení rizika v relacích třetích stran Ručně, zakázáno 1.1.0
Definování požadavků na dodávky zboží a služeb CMA_0126 – Definování požadavků na dodávky zboží a služeb Ručně, zakázáno 1.1.0
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Stanovení zásad pro řízení rizik dodavatelského řetězce CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0

Monitorování aktivit

Princip COSO 16

ID: SOC 2 Typ 2 CC4.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení bezpečnostních prvků CMA_C1145 – posouzení bezpečnostních prvků Ručně, zakázáno 1.1.0
Vývoj plánu posouzení zabezpečení CMA_C1144 – Vývoj plánu posouzení zabezpečení Ručně, zakázáno 1.1.0
Výběr dalšího testování pro posouzení kontroly zabezpečení CMA_C1149 – Výběr dalšího testování pro posouzení kontroly zabezpečení Ručně, zakázáno 1.1.0

COSO – princip 17

ID: SOC 2 Typ 2 CC4.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Doručování výsledků posouzení zabezpečení CMA_C1147 – Poskytování výsledků posouzení zabezpečení Ručně, zakázáno 1.1.0
Vytvoření sestavy posouzení zabezpečení CMA_C1146 – Vytvoření sestavy posouzení zabezpečení Ručně, zakázáno 1.1.0

Aktivity řízení

COSO – princip 10

ID: SOC 2 Typ 2 CC5.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0

COSO – princip 11

ID: SOC 2 Typ 2 CC5.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu Ručně, zakázáno 1.1.0
Ochrana osobních údajů v kupních smlouvách CMA_0194 - Ochrana osobních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách Ručně, zakázáno 1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání Ručně, zakázáno 1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání Ručně, zakázáno 1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, zakázáno 3.0.0

Princip COSO 12

ID: SOC 2 Typ 2 CC5.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace seznamu povolených zjišťování CMA_0068 – Konfigurace seznamu povolených zjišťování Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů Ručně, zakázáno 1.1.0
Projít nezávislou kontrolou zabezpečení CMA_0515 – Projděte si nezávislou kontrolu zabezpečení Ručně, zakázáno 1.1.0

Logické a fyzické řízení přístupu

Software, infrastruktura a architektury zabezpečení logického přístupu

ID: SOC 2 Typ 2 CC6.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.2.0
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Proměnné účtu Automation by měly být šifrované. Při ukládánícitlivýchch Audit, Odepřít, Zakázáno 1.1.0
Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. Audit, Odepřít, Zakázáno 2.2.0
Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. Audit, Odepřít, Zakázáno 1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Certifikáty by měly mít zadanou maximální dobu platnosti. Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 2.2.1
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Vytvoření inventáře dat CMA_0096 – Vytvoření inventáře dat Ručně, zakázáno 1.1.0
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Školení k dokumentování mobility CMA_0191 – Školení k dokumentování mobility Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.0.1
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Klíče služby Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. Audit, Odepřít, Zakázáno 1.0.2
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2
Trezory klíčů by měly mít povolenou ochranu před odstraněním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. Audit, Odepřít, Zakázáno 2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Udržovat záznamy o zpracování osobních údajů CMA_0353 - Udržování záznamů o zpracování osobních údajů Ručně, zakázáno 1.1.0
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Upozorňovat uživatele na přihlášení k systému nebo přístup CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému Ručně, zakázáno 1.1.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1
Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. AuditIfNotExists, zakázáno 1.0.0
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, zakázáno 1.0.3
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, zakázáno 3.0.0
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. AuditIfNotExists, zakázáno 4.1.1

Zřizování a odebrání přístupu

ID: SOC 2 Type 2 CC6.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přiřazení správců účtů CMA_0015 – Přiřazení správců účtů Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Oprávnění k přístupu k dokumentům CMA_0186 – oprávnění k přístupu k dokumentům Ručně, zakázáno 1.1.0
Vytvoření podmínek pro členství v rolích CMA_0269 – Vytvoření podmínek pro členství v rolích Ručně, zakázáno 1.1.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských účtů CMA_0480 – Kontrola uživatelských účtů Ručně, zakázáno 1.1.0

Přístup založený na rolech a nejnižší oprávnění

ID: SOC 2 Type 2 CC6.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Monitorování přiřazení privilegovaných rolí CMA_0378 – Monitorování přiřazení privilegovaných rolí Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských účtů CMA_0480 – Kontrola uživatelských účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských oprávnění CMA_C1039 – Kontrola uživatelských oprávnění Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Audit, zakázáno 1.0.4
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, zakázáno 3.0.0
Použití správy privilegovaných identit CMA_0533 – Použití správy privilegovaných identit Ručně, zakázáno 1.1.0

Omezený fyzický přístup

ID: SOC 2 Typ 2 CC6.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0

Logická a fyzická ochrana nad fyzickými prostředky

ID: SOC 2 Type 2 CC6.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Bezpečnostní opatření proti hrozbám mimo hranice systému

ID: SOC 2 Typ 2 CC6.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.2.0
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Školení k dokumentování mobility CMA_0191 – Školení k dokumentování mobility Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.0.1
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Upozorňovat uživatele na přihlášení k systému nebo přístup CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému Ručně, zakázáno 1.1.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. AuditIfNotExists, zakázáno 4.1.1

Omezení přesunu informací autorizovaným uživatelům

ID: SOC 2 Type 2 CC6.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Definování požadavků na mobilní zařízení CMA_0122 – Definování požadavků na mobilní zařízení Ručně, zakázáno 1.1.0
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.0.1
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Správa přepravy aktiv CMA_0370 – správa přepravy aktiv Ručně, zakázáno 1.1.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. AuditIfNotExists, zakázáno 4.1.1

Prevence nebo detekce neoprávněného nebo škodlivého softwaru

ID: SOC 2 Typ 2 CC6.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. Audit, zakázáno 3.1.0 zastaralé
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. AuditIfNotExists, zakázáno 5.1.0-preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. AuditIfNotExists, zakázáno 4.0.0-preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. AuditIfNotExists, zakázáno 3.1.0-preview
[Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. Audit, zakázáno 4.0.0-preview
[Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. Audit, zakázáno 2.0.0-preview
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. AuditIfNotExists, zakázáno 1.0.0
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Aplikace app Service by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Audit virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. audit 1.0.0
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. AuditIfNotExists, zakázáno 1.1.0
Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. Audit, zakázáno 1.0.2
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.2.0
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.3.0
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.2.0
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 4.2.0
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 7.2.0
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.1.0
Clustery Kubernetes by neměly používat výchozí obor názvů. Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 4.2.0
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.2.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. Audit, Odepřít, Zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. Audit, Odepřít, Zakázáno 1.0.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0
Zobrazení a konfigurace diagnostických dat systému CMA_0544 – Zobrazení a konfigurace diagnostických dat systému Ručně, zakázáno 1.1.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.0.0

Systémové operace

Detekce a monitorování nových ohrožení zabezpečení

ID: SOC 2 Typ 2 CC7.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, zakázáno 3.0.0
Konfigurace akcí pro zařízení nedodržující předpisy CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Povolení detekce síťových zařízení CMA_0220 – Povolení detekce síťových zařízení Ručně, zakázáno 1.1.0
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Vytvoření řídicí desky konfigurace CMA_0254 – Vytvoření řídicí desky konfigurace Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0
Zobrazení a konfigurace diagnostických dat systému CMA_0544 – Zobrazení a konfigurace diagnostických dat systému Ručně, zakázáno 1.1.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

Monitorování systémových komponent pro neobvyklé chování

ID: SOC 2 Typ 2 CC7.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 3.0.0
Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, zakázáno 1.0.0
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o programu Microsoft Defender for Containers v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, zakázáno 2.0.1
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). AuditIfNotExists, zakázáno 2.0.0

Detekce incidentů zabezpečení

ID: SOC 2 Typ 2 CC7.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů reakce na incidenty CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty Ručně, zakázáno 1.1.0

Reakce na incidenty zabezpečení

ID: SOC 2 Typ 2 CC7.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení událostí zabezpečení informací CMA_0013 – Posouzení událostí zabezpečení informací Ručně, zakázáno 1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Vývoj bezpečnostních opatření CMA_0161 – Vývoj bezpečnostních opatření Ručně, zakázáno 1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Povolení ochrany sítě CMA_0238 – Povolení ochrany sítě Ručně, zakázáno 1.1.0
Vymýcení kontaminovaných informací CMA_0253 - Eradikát kontaminovaných informací Ručně, zakázáno 1.1.0
Provádění akcí v reakci na přelití informací CMA_0281 – Provádění akcí v reakci na přelití informací Ručně, zakázáno 1.1.0
Identifikace tříd incidentů a provedených akcí CMA_C1365 – identifikace tříd incidentů a provedených akcí Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0
Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem CMA_C1364 – Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem Ručně, zakázáno 1.1.0
Údržba plánu reakce na incidenty CMA_0352 – Údržba plánu reakce na incidenty Ručně, zakázáno 1.1.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1
Zobrazení a prošetření omezených uživatelů CMA_0545 – Zobrazení a prošetření omezených uživatelů Ručně, zakázáno 1.1.0

Zotavení z identifikovaných incidentů zabezpečení

ID: SOC 2 Typ 2 CC7.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení událostí zabezpečení informací CMA_0013 – Posouzení událostí zabezpečení informací Ručně, zakázáno 1.1.0
Testování reakce na incidenty CMA_0060 – Provedení testování reakcí na incidenty Ručně, zakázáno 1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0
Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Vývoj bezpečnostních opatření CMA_0161 – Vývoj bezpečnostních opatření Ručně, zakázáno 1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Povolení ochrany sítě CMA_0238 – Povolení ochrany sítě Ručně, zakázáno 1.1.0
Vymýcení kontaminovaných informací CMA_0253 - Eradikát kontaminovaných informací Ručně, zakázáno 1.1.0
Vytvoření programu zabezpečení informací CMA_0263 – Vytvoření programu zabezpečení informací Ručně, zakázáno 1.1.0
Provádění akcí v reakci na přelití informací CMA_0281 – Provádění akcí v reakci na přelití informací Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0
Údržba plánu reakce na incidenty CMA_0352 – Údržba plánu reakce na incidenty Ručně, zakázáno 1.1.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Spuštění útoků simulace CMA_0486 – Spuštění útoků simulace Ručně, zakázáno 1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1
Zobrazení a prošetření omezených uživatelů CMA_0545 – Zobrazení a prošetření omezených uživatelů Ručně, zakázáno 1.1.0

Správa změn

Změny infrastruktury, dat a softwaru

ID: SOC 2 Typ 2 CC8.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. Audit, zakázáno 3.1.0 zastaralé
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. AuditIfNotExists, zakázáno 5.1.0-preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. AuditIfNotExists, zakázáno 4.0.0-preview
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. AuditIfNotExists, zakázáno 3.1.0-preview
[Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. Audit, zakázáno 4.0.0-preview
[Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. Audit, zakázáno 2.0.0-preview
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. AuditIfNotExists, zakázáno 1.0.0
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Aplikace app Service by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Audit virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. audit 1.0.0
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. AuditIfNotExists, zakázáno 1.1.0
Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. Audit, zakázáno 1.0.2
Analýza dopadu na zabezpečení CMA_0057 – Provedení analýzy dopadu na zabezpečení Ručně, zakázáno 1.1.0
Konfigurace akcí pro zařízení nedodržující předpisy CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy Ručně, zakázáno 1.1.0
Vývoj a údržba standardu správa ohrožení zabezpečení CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Vytvoření řídicí desky konfigurace CMA_0254 – Vytvoření řídicí desky konfigurace Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře Ručně, zakázáno 1.1.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.2.0
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.3.0
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.2.0
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 4.2.0
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 7.2.0
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.1.0
Clustery Kubernetes by neměly používat výchozí obor názvů. Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 4.2.0
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.2.0
Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. Audit, Odepřít, Zakázáno 1.0.0
Posouzení dopadu ochrany osobních údajů CMA_0387 – provedení posouzení dopadu ochrany osobních údajů Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Provedení auditu pro řízení změn konfigurace CMA_0390 – provedení auditu řízení změn konfigurace Ručně, zakázáno 1.1.0
Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. Audit, Odepřít, Zakázáno 1.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.0.0

Zmírnění rizik

Aktivity zmírnění rizik

ID: SOC 2 Typ 2 CC9.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení potřeb ochrany informací CMA_C1750 – Určení potřeb ochrany informací Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0

Správa rizik dodavatelů a obchodních partnerů

ID: SOC 2 Typ 2 CC9.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení rizika v relacích třetích stran CMA_0014 – Posouzení rizika v relacích třetích stran Ručně, zakázáno 1.1.0
Definování požadavků na dodávky zboží a služeb CMA_0126 – Definování požadavků na dodávky zboží a služeb Ručně, zakázáno 1.1.0
Definování povinností zpracovatelů CMA_0127 – definování povinností zpracovatelů Ručně, zakázáno 1.1.0
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu Ručně, zakázáno 1.1.0
Ochrana osobních údajů v kupních smlouvách CMA_0194 - Ochrana osobních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách Ručně, zakázáno 1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání Ručně, zakázáno 1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání Ručně, zakázáno 1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. Ručně, zakázáno 1.1.0
Stanovení zásad pro řízení rizik dodavatelského řetězce CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce Ručně, zakázáno 1.1.0
Vytvoření požadavků na zabezpečení pracovníků třetích stran CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran Ručně, zakázáno 1.1.0
Monitorování dodržování předpisů poskytovatele třetích stran CMA_C1533 – Monitorování dodržování předpisů poskytovatelů třetích stran Ručně, zakázáno 1.1.0
Zaznamenávání zpřístupnění osobních údajů třetím stranám CMA_0422 - Zaznamenávání zpřístupnění osobních údajů třetím stranám Ručně, zakázáno 1.1.0
Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků Ručně, zakázáno 1.1.0
Vyškolit zaměstnance na sdílení piI a jeho důsledky CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky Ručně, zakázáno 1.1.0

Další kritéria pro ochranu osobních údajů

Oznámení o ochraně osobních údajů

ID: SOC 2 Typ 2 P1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dokumentovat a distribuovat zásady ochrany osobních údajů CMA_0188 – Dokumentujte a distribuujte zásady ochrany osobních údajů Ručně, zakázáno 1.1.0
Ujistěte se, že jsou veřejně dostupné informace o programu ochrany osobních údajů. CMA_C1867 – Zajištění veřejného zpřístupnění informací o programu ochrany osobních údajů Ručně, zakázáno 1.1.0
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Poskytnutí oznámení o ochraně osobních údajů veřejnosti a jednotlivcům CMA_C1861 – poskytnutí oznámení o ochraně osobních údajů veřejnosti a jednotlivcům Ručně, zakázáno 1.1.0

ID: SOC 2 Typ 2 P2.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentování přijetí požadavků na ochranu osobních údajů CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky Ručně, zakázáno 1.1.0
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Získání souhlasu před shromažďováním nebo zpracováním osobních údajů CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0

Konzistentní shromažďování osobních údajů

ID: SOC 2 Typ 2 P3.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení právního orgánu ke shromažďování PII CMA_C1800 – určení právního orgánu pro shromažďování osobních údajů Ručně, zakázáno 1.1.0
Proces dokumentu pro zajištění integrity PII CMA_C1827 – proces dokumentů pro zajištění integrity PII Ručně, zakázáno 1.1.0
Pravidelně vyhodnocovat a kontrolovat podíly v piI CMA_C1832 – pravidelně vyhodnocujte a kontrolujte podniky s piI Ručně, zakázáno 1.1.0
Získání souhlasu před shromažďováním nebo zpracováním osobních údajů CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů Ručně, zakázáno 1.1.0

ID: SOC 2 Typ 2 P3.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Shromážděte PII přímo od jednotlivce. CMA_C1822 – shromážděte piI přímo od jednotlivce. Ručně, zakázáno 1.1.0
Získání souhlasu před shromažďováním nebo zpracováním osobních údajů CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů Ručně, zakázáno 1.1.0

Použití osobních údajů

ID: SOC 2 Typ 2 P4.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentujte právní základ pro zpracování osobních údajů. CMA_0206 - Zdokumentujte právní základ pro zpracování osobních údajů Ručně, zakázáno 1.1.0
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Získání souhlasu před shromažďováním nebo zpracováním osobních údajů CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Omezení komunikace CMA_0449 – Omezení komunikace Ručně, zakázáno 1.1.0

Uchovávání osobních údajů

ID: SOC 2 Typ 2 P4.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Proces dokumentu pro zajištění integrity PII CMA_C1827 – proces dokumentů pro zajištění integrity PII Ručně, zakázáno 1.1.0

Vyřazení osobních údajů

ID: SOC 2 Typ 2 P4.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provedení kontroly dispozice CMA_0391 – provedení kontroly dispozice Ručně, zakázáno 1.1.0
Ověření odstranění osobních údajů na konci zpracování CMA_0540 – Ověření odstranění osobních údajů na konci zpracování Ručně, zakázáno 1.1.0

Přístup k osobním údajům

ID: SOC 2 Typ 2 P5.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace metod pro požadavky příjemců CMA_0319 – Implementace metod pro požadavky příjemců Ručně, zakázáno 1.1.0
Publikování pravidel a předpisů při přístupu k záznamům zákona o ochraně osobních údajů CMA_C1847 – Publikování pravidel a předpisů při přístupu k záznamům Zákona o ochraně osobních údajů Ručně, zakázáno 1.1.0

Oprava osobních údajů

ID: SOC 2 Typ 2 P5.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Reakce na žádosti o opravu CMA_0442 – reakce na žádosti o opravu Ručně, zakázáno 1.1.0

Zpřístupnění osobních údajů třetích stran

ID: SOC 2 Typ 2 P6.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování povinností zpracovatelů CMA_0127 – definování povinností zpracovatelů Ručně, zakázáno 1.1.0
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu Ručně, zakázáno 1.1.0
Ochrana osobních údajů v kupních smlouvách CMA_0194 - Ochrana osobních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách Ručně, zakázáno 1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání Ručně, zakázáno 1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání Ručně, zakázáno 1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. Ručně, zakázáno 1.1.0
Stanovení požadavků na ochranu osobních údajů pro dodavatele a poskytovatele služeb CMA_C1810 – Stanovení požadavků na ochranu osobních údajů pro dodavatele a poskytovatele služeb Ručně, zakázáno 1.1.0
Zaznamenávání zpřístupnění osobních údajů třetím stranám CMA_0422 - Zaznamenávání zpřístupnění osobních údajů třetím stranám Ručně, zakázáno 1.1.0
Vyškolit zaměstnance na sdílení piI a jeho důsledky CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky Ručně, zakázáno 1.1.0

Autorizované zpřístupnění záznamu osobních údajů

ID: SOC 2 Typ 2 P6.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Udržování přesného účetnictví zpřístupnění informací CMA_C1818 – udržování přesného účetnictví zpřístupnění informací Ručně, zakázáno 1.1.0

Neoprávněné zpřístupnění záznamu osobních údajů

ID: SOC 2 Typ 2 P6.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Udržování přesného účetnictví zpřístupnění informací CMA_C1818 – udržování přesného účetnictví zpřístupnění informací Ručně, zakázáno 1.1.0

Smlouvy třetích stran

ID: SOC 2 Typ 2 P6.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování povinností zpracovatelů CMA_0127 – definování povinností zpracovatelů Ručně, zakázáno 1.1.0

Oznámení o neoprávněném zpřístupnění třetí strany

ID: SOC 2 Typ 2 P6.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu Ručně, zakázáno 1.1.0
Ochrana osobních údajů v kupních smlouvách CMA_0194 - Ochrana osobních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách Ručně, zakázáno 1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání Ručně, zakázáno 1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání Ručně, zakázáno 1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. Ručně, zakázáno 1.1.0
Zabezpečení informací a ochrana osobních údajů CMA_0332 – Zabezpečení informací a ochrana osobních údajů Ručně, zakázáno 1.1.0

Oznámení incidentu ochrany osobních údajů

ID: SOC 2 Typ 2 P6.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Zabezpečení informací a ochrana osobních údajů CMA_0332 – Zabezpečení informací a ochrana osobních údajů Ručně, zakázáno 1.1.0

Účetnictví zpřístupnění osobních údajů

ID: SOC 2 Typ 2 P6.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Udržování přesného účetnictví zpřístupnění informací CMA_C1818 – udržování přesného účetnictví zpřístupnění informací Ručně, zakázáno 1.1.0
Zpřístupnění zveřejnění informací na vyžádání CMA_C1820 - Zpřístupnění účetnictví zpřístupnění informací na vyžádání Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Omezení komunikace CMA_0449 – Omezení komunikace Ručně, zakázáno 1.1.0

Kvalita osobních údajů

ID: SOC 2 Typ 2 P7.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Potvrzení kvality a integrity PII CMA_C1821 – potvrzení kvality a integrity PII Ručně, zakázáno 1.1.0
Pokyny k vydání pro zajištění kvality a integrity dat CMA_C1824 – Pokyny k problému pro zajištění kvality a integrity dat Ručně, zakázáno 1.1.0
Ověření nepřesných nebo zastaralých piI CMA_C1823 – Ověření nepřesných nebo zastaralých piI Ručně, zakázáno 1.1.0

Správa stížností na ochranu osobních údajů a správa dodržování předpisů

ID: SOC 2 Typ 2 P8.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentujte a implementujte postupy pro stížnosti na ochranu osobních údajů CMA_0189 – Dokumentace a implementace postupů pro stížnosti na ochranu osobních údajů Ručně, zakázáno 1.1.0
Pravidelně vyhodnocovat a kontrolovat podíly v piI CMA_C1832 – pravidelně vyhodnocujte a kontrolujte podniky s piI Ručně, zakázáno 1.1.0
Zabezpečení informací a ochrana osobních údajů CMA_0332 – Zabezpečení informací a ochrana osobních údajů Ručně, zakázáno 1.1.0
Reakce na stížnosti, obavy nebo dotazy včas CMA_C1853 – reakce na stížnosti, obavy nebo dotazy včas Ručně, zakázáno 1.1.0
Vyškolit zaměstnance na sdílení piI a jeho důsledky CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky Ručně, zakázáno 1.1.0

Další kritéria pro integritu zpracování

Definice zpracování dat

ID: SOC 2 Typ 2 PI1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace metod doručování oznámení o ochraně osobních údajů CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Uveďte oznámení o ochraně osobních údajů. CMA_0414 – Uveďte oznámení o ochraně osobních údajů Ručně, zakázáno 1.1.0
Omezení komunikace CMA_0449 – Omezení komunikace Ručně, zakázáno 1.1.0

Systémové vstupy nad úplností a přesností

ID: SOC 2 Typ 2 PI1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření vstupu informací CMA_C1723 – provedení ověření vstupu informací Ručně, zakázáno 1.1.0

Zpracování systému

ID: SOC 2 Type 2 PI1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Generování chybových zpráv CMA_C1724 – Generování chybových zpráv Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Ověření vstupu informací CMA_C1723 – provedení ověření vstupu informací Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Výstup systému je úplný, přesný a včasný

ID: SOC 2 Typ 2 PI1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Úplné, přesné a včasné ukládání vstupů a výstupů

ID: SOC 2 Typ 2 PI1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro virtuální počítače by měla být povolená služba Azure Backup. Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Vytvoření zásad a postupů zálohování CMA_0268 – Vytvoření zásad a postupů zálohování Ručně, zakázáno 1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0
Samostatně ukládat informace o zálohování CMA_C1293 – Samostatně ukládat informace o zálohování Ručně, zakázáno 1.1.0

Další kroky

Další články o službě Azure Policy: