Podrobnosti o integrované iniciativě SWIFT CSP v2021 Pro dodržování právních předpisů

Následující článek podrobně popisuje, jak se integrované definice iniciativy Azure Policy dodržování předpisů mapuje na domény a ovládací prvkydodržování předpisů v [Preview]: SWIFT CSCF v2021. Další informace o tomto standardu dodržování předpisů najdete v článku [Preview]: SWIFT CSCF v2021. Informace o vlastnictví najdete v tématu Azure Policy definice zásad a sdílená odpovědnost v cloudu.

Následující mapování jsou na [Preview]: Ovládací prvky SWIFT CSCF v2021 . Pomocí navigace vpravo můžete přejít přímo na konkrétní doménu dodržování předpisů. Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy. Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásadu na Azure Portal a vyberte stránku Definice. Pak vyhledejte a vyberte [Preview]: SWIFT CSCF v2021 předdefinované definice iniciativy dodržování předpisů.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definicí Azure Policy. Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů s kontrolou; Často však neexistuje shoda 1:1 nebo úplná shoda mezi ovládacím prvku a jednou nebo více zásadami. Dodržování předpisů v Azure Policy odkazuje jenom na samotné definice zásad. Tím se nezajistíte, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli vyřešeny žádnými definicemi Azure Policy. Dodržování předpisů v Azure Policy je proto jen částečným zobrazením celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Ochrana prostředí SWIFT

Ochrana prostředí SWIFT

ID: SWIFT CSCF v2021 1.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall Azure Security Center zjistili, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, Zakázáno 3.0.0-preview
[Preview]: Azure Key Vault by měl zakázat přístup k veřejné síti. Zakažte přístup k veřejné síti pro trezor klíčů, aby nebyl přístupný přes veřejný internet. To může snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/akvprivatelink. Audit, Odepřít, Zakázáno 2.0.0-preview
[Preview]: Container Registry by měl používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Container Registry, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta závislostí Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, Zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta závislostí Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, Zakázáno 1.0.2-preview
[Preview]: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault Private Link poskytuje způsob připojení Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Audit, Odepřít, Zakázáno 1.1.0-preview
Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené. Povolte ovládací prvky aplikací k definování seznamu známých bezpečných aplikací spuštěných na počítačích a upozorňování na spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Ke zjednodušení procesu konfigurace a údržby pravidel používá Security Center strojové učení k analýze aplikací spuštěných na každém počítači a návrh seznamu známých bezpečných aplikací. AuditIfNotExists, Zakázáno 3.0.0
Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení pravidel skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. AuditIfNotExists, Zakázáno 3.0.0
Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Azure Security Center identifikovala některá příchozí pravidla skupin zabezpečení sítě tak, aby byla příliš permissivní. Příchozí pravidla by neměla povolit přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit cílení na vaše prostředky. AuditIfNotExists, Zakázáno 3.0.0
App Service by měl používat koncový bod služby virtuální sítě Tato zásada audituje všechny App Service nenakonfigurované tak, aby používaly koncový bod služby virtuální sítě. AuditIfNotExists, Zakázáno 1.0.0
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních oblastech. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby k clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
Měla by být povolená služba Azure DDoS Protection Standard. Standard ochrany DDoS by měl být povolený pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, Zakázáno 3.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do registrů kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Cosmos DB by měl používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Cosmos DB, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Centrum událostí by mělo používat koncový bod služby virtuální sítě. Tato zásada audituje jakékoli centrum událostí, které není nakonfigurované tak, aby používalo koncový bod služby virtuální sítě. AuditIfNotExists, Zakázáno 1.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, Zakázáno 3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP adres se vyžaduje jen zřídka (například při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by to měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, Zakázáno 3.0.0
Key Vault by měl používat koncový bod služby virtuální sítě Tato zásada audituje všechny Key Vault nenakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné, aby se skupina prostředků sledovacího nástroje pro sledování sítě vytvořila v každé oblasti, kde je virtuální síť přítomna. Výstraha je povolená, pokud skupina prostředků watcheru sítě není v konkrétní oblasti dostupná. AuditIfNotExists, Zakázáno 3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci tím, že povolíte privátní připojení k Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, Zakázáno 1.0.2
Pro servery MySQL by měl být povolený privátní koncový bod. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, Zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, Zakázáno 1.0.2
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro aplikace funkcí vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
SQL Server by měl používat koncový bod služby virtuální sítě. Tato zásada audituje všechny SQL Server nenakonfigurované tak, aby používaly koncový bod služby virtuální sítě. AuditIfNotExists, Zakázáno 1.0.0
Účty úložiště by měly omezit síťový přístup. Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště měla přístup jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných INTERNETOVÝCH IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly používat koncový bod služby virtuální sítě. Tato zásada audituje jakýkoli účet úložiště, který není nakonfigurovaný tak, aby používal koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, Zakázáno 3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na stavební prostředky VM Image Builderu se sníží rizika úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Řízení privilegovaného účtu operačního systému

ID: SWIFT CSCF v2021 1.2

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, Zakázáno 3.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery. Auditování zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu. AuditIfNotExists, Zakázáno 1.0.0
Zastaralé účty by se měly odebrat z předplatného. Zastaralé účty by se měly odebrat z vašich předplatných. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 3.0.0
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 3.0.0
Externí účty s oprávněními vlastníka by měly být z vašeho předplatného odebrány. Externí účty s oprávněními vlastníka by měly být z vašeho předplatného odebrány, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 3.0.0
Externí účty s oprávněními ke čtení by měly být z vašeho předplatného odebrány. Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 3.0.0
Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat. Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být vypnuté pro aplikace funkcí. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Clustery Service Fabric by měly k ověřování klientů používat jenom Azure Active Directory. Auditování využití ověřování klientů pouze přes Azure Active Directory ve službě Service Fabric Audit, Odepřít, Zakázáno 1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Doporučujeme určit více než jednoho vlastníka předplatného, aby měl správce přístup k redundanci. AuditIfNotExists, zakázáno 3.0.0

Virtualizace Platform Protection

ID: SWIFT CSCF v2021 1.3

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nepoužívají spravované disky. audit 1.0.0

Omezení přístupu k internetu

ID: SWIFT CSCF v2021 1.4

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních oblastech. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby k clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1

Omezení možností útoku a ohrožení zabezpečení

Interní zabezpečení Tok dat

ID: SWIFT CSCF v2021 2.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, použití hesel s SSH stále ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.0.0
Proměnné účtu Automation by měly být šifrované. Při ukládání citlivých dat je důležité povolit šifrování proměnných prostředků účtu Automation. Audit, Odepřít, Zakázáno 1.1.0
Azure SQL databáze by měla používat protokol TLS verze 1.2 nebo novější. Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajistíte, že k databázi Azure SQL bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože jsou dobře zdokumentované ohrožení zabezpečení. Audit, Zakázáno, Odepřít 2.0.0
Ujistěte se, že je u webové aplikace nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) nastavená na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Clustery Kubernetes by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc Audit, Odepřít, Zakázáno 6.1.0
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
V aplikaci funkcí by se měla používat nejnovější verze protokolu TLS. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
Ve webové aplikaci by se měla používat nejnovější verze protokolu TLS. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, zakázáno 1.0.0
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že jsou všechny zprávy mezi uzly šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0
SQL Managed Instance by měla mít minimální verzi protokolu TLS verze 1.2. Nastavení minimální verze protokolu TLS na 1.2 zlepšuje zabezpečení tím, že zajistíte, aby k SQL Managed Instance bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože jsou dobře zdokumentované ohrožení zabezpečení. Audit, zakázáno 1.0.1
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací komunikovaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu, protokolu TLS (Transport Layer Security). Tls zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. AuditIfNotExists, zakázáno 4.0.0

Aktualizace zabezpečení

ID: SWIFT CSCF v2021 2.2

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování virtuálních počítačů s Windows s čekající restartováním Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítač čeká na restartování z některého z následujících důvodů: údržba založená na komponentách, služba Windows Update, čekající přejmenování souboru, čekající na přejmenování počítače, restartování nástroje Configuration Manager čekající na restartování. Každá detekce má jedinečnou cestu registru. auditIfNotExists 2.0.0
Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. Zkontrolujte, jestli chybí aktualizace zabezpečení systému a důležité aktualizace, které by se měly nainstalovat, aby se zajistilo zabezpečení škálovacích sad virtuálních počítačů s Windows a Linuxem. AuditIfNotExists, zakázáno 3.0.0
Na počítače by se měly nainstalovat aktualizace systému Chybějící aktualizace systému zabezpečení na vašich serverech budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 4.0.0

Posílení zabezpečení systému

ID: SWIFT CSCF v2021 2.3

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování počítačů s Linuxem, které nemají oprávnění k souborům passwd nastavená na 0644 Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Linuxem, které nemají oprávnění k souboru passwd nastavené na hodnotu 0644 AuditIfNotExists, zakázáno 3.0.0
Auditování počítačů s Windows, které obsahují certifikáty, jejichž platnost vyprší v zadaném počtu dnů Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Zásady také poskytují možnost kontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a zda se mají ohlásit certifikáty s vypršenou platností. auditIfNotExists 2.0.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování AuditIfNotExists, zakázáno 2.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředky sestavení Image Builderu virtuálního počítače se sníží riziko úniku dat. Další informace o privátních odkazech najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Zabezpečení Tok dat back-office

ID: SWIFT CSCF v2021 2.4A

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, použití hesel s SSH stále ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.0.0
Proměnné účtu Automation by měly být šifrované. Při ukládání citlivých dat je důležité povolit šifrování proměnných prostředků účtu Automation. Audit, Odepřít, Zakázáno 1.1.0
Ujistěte se, že je u webové aplikace nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) nastavená na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Audit, zakázáno 1.0.0
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis Audit povolování pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace Audit, Odepřít, Zakázáno 1.0.0
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací komunikovaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu, protokolu TLS (Transport Layer Security). Tls zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. AuditIfNotExists, zakázáno 4.0.0

Ochrana dat externího přenosu

ID: SWIFT CSCF v2021 2.5A

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Auditování virtuálních počítačů bez konfigurace zotavení po havárii Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditování virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nepoužívají spravované disky. audit 1.0.0
Proměnné účtu Automation by měly být šifrované. Při ukládání citlivých dat je důležité povolit šifrování proměnných prostředků účtu Automation. Audit, Odepřít, Zakázáno 1.1.0
Azure Backup by měly být povolené pro Virtual Machines Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části obsahu vašich registrů. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. Použití geografické redundance k vytváření vysoce dostupných aplikací Audit, zakázáno 1.0.0
Dlouhodobé geograficky redundantní zálohování by mělo být povolené pro databáze Azure SQL Tato zásada audituje jakoukoli databázi Azure SQL s dlouhodobým geograficky redundantním zálohováním, které není povolené. AuditIfNotExists, Zakázáno 2.0.0
Měl by se povolit zabezpečený přenos do účtů úložiště Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí účet úložiště přijímat požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 2.0.0
Transparentní šifrování dat v databázích SQL by mělo být povolené. Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, Zakázáno 2.0.0
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Ve výchozím nastavení jsou operační systém a datové disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace: Šifrování azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Zakázáno 2.0.3
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy. Audit, zakázáno 1.0.0

Důvěrnost a integrita relace operátoru

ID: SWIFT CSCF v2021 2.6

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Azure SQL Databáze by měla mít protokol TLS verze 1.2 nebo novější. Nastavení protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajistíte, aby k databázi Azure SQL měli přístup jenom klienti pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože mají dobře zdokumentovaná ohrožení zabezpečení. Audit, Zakázáno, Odepřít 2.0.0
Vynucení připojení SSL by mělo být povolené pro databázové servery MySQL Azure Database for MySQL podporuje připojení Azure Database for MySQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" tím, že zašifruje datový proud mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Vynucení připojení SSL by mělo být povolené pro databázové servery PostgreSQL Azure Database for PostgreSQL podporuje připojení Azure Database for PostgreSQL serveru k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" tím, že zašifruje datový proud mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci funkcí. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Nejnovější verze protokolu TLS by se měla používat ve webové aplikaci. Upgrade na nejnovější verzi protokolu TLS AuditIfNotExists, Zakázáno 1.0.0
Měla by být povolena pouze zabezpečená připojení k vašemu Azure Cache for Redis Audit povolení pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
SQL Managed Instance by měla mít minimální verzi protokolu TLS verze 1.2. Nastavení minimální verze protokolu TLS na verzi 1.2 zlepšuje zabezpečení tím, že zajistíte, že k SQL Managed Instance budete mít přístup jenom z klientů pomocí protokolu TLS 1.2. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože mají dobře zdokumentovaná ohrožení zabezpečení. Audit, zakázáno 1.0.1
Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací komunikovaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu, protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. AuditIfNotExists, Zakázáno 4.0.0

Kontrola ohrožení zabezpečení

ID: SWIFT CSCF v2021 2.7

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Měla by být povolená služba Azure Defender for App Service Azure Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Je potřeba povolit Azure Defender for Azure SQL Databázových serverů. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro Key Vault by měl být povolený. Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender pro servery by měl být povolený. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by měla být povolená služba Azure Defender pro SERVERY SQL. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender for Storage by měl být povolený. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení. Monitorování výsledků kontroly posouzení ohrožení zabezpečení a doporučení pro nápravu ohrožení zabezpečení databáze AuditIfNotExists, zakázáno 4.0.0
Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru. Auditovat ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem a zobrazovat je jako doporučení v Azure Security Center. AuditIfNotExists, zakázáno 3.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. Servery, které nevyhovují nakonfigurovaným směrnému plánu, budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů. Auditujte ohrožení zabezpečení operačního systému ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. AuditIfNotExists, zakázáno 3.0.0
Nastavení posouzení ohrožení zabezpečení pro SQL Server by mělo obsahovat e-mailovou adresu pro příjem sestav kontroly. Ujistěte se, že je v nastavení posouzení ohrožení zabezpečení k dispozici e-mailová adresa pro pole Odeslat sestavy kontroly. Tato e-mailová adresa obdrží souhrn výsledků kontroly po pravidelném spuštění kontroly na sql serverech. AuditIfNotExists, zakázáno 2.0.0
Posouzení ohrožení zabezpečení by mělo být povolené na SQL Managed Instance Auditujte každou SQL Managed Instance, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by mělo být povolené posouzení ohrožení zabezpečení. Audit Azure SQL servery, které nemají povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 2.0.0

Fyzické zabezpečení prostředí

Fyzické zabezpečení

ID: SWIFT CSCF v2021 3.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nepoužívají spravované disky. audit 1.0.0

Zabránění ohrožení přihlašovacích údajů

Zásady hesel

ID: SWIFT CSCF v2021 4.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel AuditIfNotExists, zakázáno 3.0.0
Auditování počítačů s Linuxem, které mají účty bez hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel AuditIfNotExists, zakázáno 3.0.0
Auditování počítačů s Windows, které umožňují opakované použití předchozích 24 hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití předchozích 24 hesel AuditIfNotExists, zakázáno 2.0.0
Auditování počítačů s Windows, které nemají maximální stáří hesla 70 dnů Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které nemají maximální stáří hesla 70 dnů AuditIfNotExists, zakázáno 2.0.0
Auditování počítačů s Windows, které nemají minimální stáří hesla 1 den Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které nemají minimální věk hesla 1 den AuditIfNotExists, Zakázáno 2.0.0
Auditování počítačů s Windows, které nemají povolené nastavení složitosti hesla Vyžaduje, aby se požadavky nasadily do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla AuditIfNotExists, Zakázáno 2.0.0
Auditování počítačů s Windows, které neomezují minimální délku hesla na 14 znaků Vyžaduje, aby se požadavky nasadily do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které neomezují minimální délku hesla na 14 znaků AuditIfNotExists, Zakázáno 2.0.0

Multi-factor Authentication

ID: SWIFT CSCF v2021 4.2

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0
Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka k vašemu předplatnému. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0
Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními ke čtení ve vašem předplatném. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k porušení účtů nebo prostředků. AuditIfNotExists, Zakázáno 3.0.0

Správa identit a oddělení oprávnění

Logické Access Control

ID: SWIFT CSCF v2021 5.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, Zakázáno 3.0.0
Zastaralé účty by se měly odebrat z předplatného. Zastaralé účty by se měly odebrat z vašich předplatných. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat. Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními k zápisu by se měly odebrat z vašeho předplatného. Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, Zakázáno 3.0.0

Správa tokenů

ID: SWIFT CSCF v2021 5.2

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 2.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. AuditIfNotExists, Zakázáno 3.0.0

Fyzické a logické úložiště hesel

ID: SWIFT CSCF v2021 5.4

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete tady: https://aka.ms/gcpol Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování AuditIfNotExists, zakázáno 2.0.0
Trezory klíčů by měly mít povolenou ochranu před vymazáním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit trezory klíčů. Vyprázdnění ochrany chrání před útoky insider tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Audit, Odepřít, Zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci API. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve vaší aplikaci funkcí. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0
Spravovaná identita by se měla používat ve webové aplikaci. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 2.0.0

Detekce neobvyklé aktivity v systémech nebo transakčních záznamech

Ochrana před malwarem

ID: SWIFT CSCF v2021 6.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Microsoft Antimalware pro Azure by se měly nakonfigurovat tak, aby automaticky aktualizovaly podpisy ochrany. Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Microsoft Antimalware. AuditIfNotExists, zakázáno 1.0.0
Rozšíření Microsoft IaaSAntimalware by mělo být nasazené na serverech s Windows. Tyto zásady auditují všechny virtuální počítače s Windows serverem bez nasazených rozšíření Microsoft IaaSAntimalware. AuditIfNotExists, zakázáno 1.0.0
Monitorování chybějící služby Endpoint Protection v Azure Security Center Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.0.0

Integrita softwaru

ID: SWIFT CSCF v2021 6.2

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. Šifrování operačního systému a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. To je běžný požadavek v mnoha zákonných a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být vypnuté pro aplikace funkcí. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 1.0.0

Integrita databáze

ID: SWIFT CSCF v2021 6.3

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování na SQL Serveru by mělo být povolené. Auditování na vašem SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Cosmos DB by měl používat koncový bod služby virtuální sítě. Tato zásada audituje všechny služby Cosmos DB, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě. Audit, zakázáno 1.0.0
Pro databázové servery PostgreSQL by se měly protokolovat odpojení. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. AuditIfNotExists, zakázáno 1.0.0
Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance databázového serveru. Můžete ho nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k databázi Azure SQL bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Pro servery MariaDB by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, zakázáno 1.0.2
Pro servery MySQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, zakázáno 1.0.2
Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, zakázáno 1.0.2
Servery SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování vašeho SQL Server na cíl účtu úložiště alespoň na 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování zákonných standardů. AuditIfNotExists, zakázáno 3.0.0
Transparentní šifrování dat v databázích SQL by mělo být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

Protokolování a monitorování

ID: SWIFT CSCF v2021 6.4

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Pro uvedené image virtuálních počítačů by mělo být povolené rozšíření Log Analytics. Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované. AuditIfNotExists, zakázáno 2.0.1-Preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview
Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. Tato zásada audituje protokol aktivit, pokud uchovávání není nastavené po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). AuditIfNotExists, zakázáno 1.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které podporuje konfigurace hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a před použitím definic zásad konfigurace hosta musí být přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a před použitím definic zásad konfigurace hosta musí být přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.0.0
Auditování virtuálních počítačů bez konfigurace zotavení po havárii Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditování na SQL Serveru by mělo být povolené. Auditování na vašem SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics. Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Azure Security Center shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí související se zabezpečením z počítače a kopíruje data do pracovního prostoru Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování pro automatické nasazení agenta do všech podporovaných virtuálních počítačů Azure a všech nových virtuálních počítačů Azure vytvořených. AuditIfNotExists, Zakázáno 1.0.1
Azure Backup by měly být povolené pro Virtual Machines Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, Zakázáno 3.0.0
Měla by být povolená služba Azure Defender for App Service Azure Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Azure Defender for Azure SQL Databázové servery by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender for Key Vault Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a výstrahy týkající se podezřelých aktivit. AuditIfNotExists, Zakázáno 1.0.3
Na počítačích by měl být povolený Azure Defender pro sql servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Azure Defender for Storage. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie zápis, odstranění a akci. Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie zápis, odstranění a akci. AuditIfNotExists, Zakázáno 1.0.0
Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podporovaných oblastí Azure, včetně globálních. AuditIfNotExists, Zakázáno 2.0.0
Řešení Azure Monitor Security and Audit musí být nasazené. Tato zásada zajišťuje nasazení zabezpečení a auditu. AuditIfNotExists, Zakázáno 1.0.0
Nasadit rozšíření Guest Configuration pro Linux, aby se dalo přiřazovat na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu na virtuální počítače s Linuxem hostovanými v Azure, které podporuje konfigurace hosta. Rozšíření Konfigurace hosta Linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v https://aka.ms/gcpoltématu . deployIfNotExists 3.0.0
Nasadit rozšíření Guest Configuration pro Windows, aby se dalo přiřazovat na virtuálních počítačích s Windows Tato zásada nasadí rozšíření Konfigurace hosta systému Windows na virtuální počítače s Windows hostovanými v Azure, které podporuje konfigurace hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v https://aka.ms/gcpoltématu . deployIfNotExists 1.2.0
Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. Hlásí škálovací sady virtuálních počítačů jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaná a rozšíření není nainstalované. AuditIfNotExists, Zakázáno 2.0.1
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků v Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků v IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 3.0.1
Protokoly prostředků v Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se má použít pro účely šetření; pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě AuditIfNotExists, Zakázáno 5.0.0
Protokoly prostředků ve vyhledávacích službách by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Virtual Machine Scale Sets by měly být povolené. Doporučujeme povolit protokoly, aby bylo možné znovu vytvořit záznam aktivity, když se v případě incidentu nebo ohrožení zabezpečení vyžadují šetření. AuditIfNotExists, zakázáno 2.1.0
Rozšíření Log Analytics by se mělo nainstalovat na Virtual Machine Scale Sets Tyto zásady audituje všechny Virtual Machine Scale Sets Windows/Linux, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1
Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. Tyto zásady auditují všechny virtuální počítače s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1

Detekce neoprávněných vniknutí

ID: SWIFT CSCF v2021 6.5A

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-Preview
Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. AuditIfNotExists, zakázáno 3.0.0
Azure Defender pro App Service by měl být povolený Azure Defender pro App Service využívá škálování cloudu a viditelnost, kterou Má Azure jako poskytovatel cloudu, k monitorování běžných útoků na webovou aplikaci. AuditIfNotExists, zakázáno 1.0.3
Je potřeba povolit Azure Defender for Azure SQL Databázových serverů. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro Key Vault by měl být povolený. Azure Defender for Key Vault poskytuje další vrstvu ochrany a analýzy zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender pro servery by měl být povolený. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by měla být povolená služba Azure Defender pro SERVERY SQL. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender for Storage by měl být povolený. Azure Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. Šifrování operačního systému a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. To je běžný požadavek v mnoha zákonných a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.0
CORS by neměl umožňovat přístup ke každé aplikaci API všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace API. Povolte interakci s vaší aplikací API jenom u požadovaných domén. AuditIfNotExists, zakázáno 1.0.0
CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k vašim aplikacím funkcí Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 1.0.0
Sdílení CORS by nemělo umožňovat přístup k webovým aplikacím všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší webové aplikace. Povolte interakci s vaší webovou aplikací jenom požadovanými doménami. AuditIfNotExists, zakázáno 1.0.0
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Upozornění se povolí, pokud skupina prostředků sledovacího systému sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis Audit povolování pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace Audit, Odepřít, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro aplikace API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích API. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro aplikace funkcí vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, Zakázáno 1.0.0

Plánování reakce na incidenty a sdílení informací

Plánování reakcí na kybernetický incident

ID: SWIFT CSCF v2021 7.1

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Email oznámení o upozorněních s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když v jednom z vašich předplatných dojde k potenciálnímu narušení zabezpečení, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, Zakázáno 1.0.1
Email oznámení pro vlastníka předplatného pro upozornění s vysokou závažností by mělo být povolené Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte e-mailová oznámení vlastníkům předplatného pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, Zakázáno 2.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením. Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci dostávali oznámení o potenciálním narušení zabezpečení v některém z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, Zakázáno 1.0.1

Další kroky

Další články o Azure Policy: