Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képez le megfelelőségi tartományokat és -vezérlőket a Microsoft felhőbiztonsági benchmarkjában. Erről a megfelelőségi szabványról további információt a Microsoft felhőbiztonsági teljesítménytesztje tartalmaz. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
Az alábbi leképezések a Microsoft felhőbiztonsági teljesítményteszt-vezérlőire vannak megfeleltetve . Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a Microsoft felhőbiztonsági referenciamutatójának a jogszabályi megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek értékelni az ellenőrzési pontnak való megfelelést, azonban gyakran nincs egy-az-egyhez vagy teljes egyezés egy ellenőrzési pont és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; Ez nem biztosítja, hogy teljes mértékben megfeleljen egy vezérlő minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelése csak részleges képet ad az átfogó megfelelőségi állapotról. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Hálózati biztonság
Hálózati szegmentálási határok létrehozása
Azonosító: Microsoft cloud security benchmark NS-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók támadást indítsanak az ön erőforrásai ellen. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
Felhőszolgáltatások védelme hálózati vezérlőkkel
Azonosító: Microsoft cloud security benchmark NS-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Ellenőrzés, letiltva | 3.0.1-már nem támogatott |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Auditálás, tiltás, letiltva | 1.0.2 |
| Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést annak érdekében, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a klaszterhez. | Ellenőrzés, letiltva | 2.0.1 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Auditálás, tiltás, letiltva | 3.2.0 |
| Az Azure AI Services-erőforrásoknak az Azure Private Linket kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform azáltal csökkenti az adatszivárgási kockázatokat, hogy kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán. További információ a privát hivatkozásokról: https://aka.ms/AzurePrivateLink/Overview | Ellenőrzés, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel engedélyezett, és legalább egy definiált IP-szabállyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Auditálás, tiltás, letiltva | 2.1.0 |
| Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a CosmosDB-fiók ne legyen közzétéve a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a CosmosDB-fiók expozícióját. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditálás, tiltás, letiltva | 1.0.0 |
| Az Azure Databricks-fürtöknek le kell tiltania a nyilvános IP-címet | A fürtök nyilvános IP-címének letiltása az Azure Databricks-munkaterületeken javítja a biztonságot azáltal, hogy biztosítja, hogy a fürtök ne legyenek kitéve a nyilvános internetnek. További információ: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Auditálás, tiltás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek virtuális hálózaton kell lenniük | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Databricks-munkaterületek, valamint alhálózatok, hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. További információ: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Auditálás, tiltás, letiltva | 1.0.2 |
| Az Azure Databricks-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Az erőforrások expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Auditálás, tiltás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/adbpe. | Ellenőrzés, letiltva | 1.0.2 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Ellenőrzés, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Ellenőrzés, letiltva | 1.0.2 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Auditálás, tiltás, letiltva | 3.3.0 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [paraméterek('audit hatása')] | 1.2.1 |
| Az Azure Machine Learning Computesnek virtuális hálózaton kell lennie | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Learning számítási fürtöi és példányai, valamint alhálózatai, hozzáférés-vezérlési szabályzatai és egyéb funkciói számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. | Ellenőrzés, letiltva | 1.0.1 |
| Az Azure Machine Learning-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Machine Learning-munkaterületek nem érhetők el a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Auditálás, tiltás, letiltva | 2.0.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Ellenőrzés, letiltva | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Ellenőrzés, letiltva | 1.0.0 |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Auditálás, Letiltva, Megtagadás | 1.2.0 |
| A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést | Ha letiltja a nyilvános hálózati hozzáférést (nyilvános végpontot) a felügyelt Azure SQL-példányokon, azzal javítja a biztonságot, hogy azok csak a virtuális hálózatokon belülről vagy privát végpontokon keresztül érhetők el. A nyilvános hálózati hozzáféréssel kapcsolatos további információkért látogasson el https://aka.ms/mi-public-endpointide. | Auditálás, tiltás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-konténerregisztrációk alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózatból származó hosztoktól. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Auditálás, tiltás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Ellenőrzés, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Ellenőrzés, letiltva | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Ellenőrzés, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Auditálás, tiltás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Auditálás, tiltás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Auditálás, tiltás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Auditálás, tiltás, letiltva | 2.0.1 |
| A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 3.1.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Auditálás, tiltás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Auditálás, tiltás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditálás, Letiltva, Megtagadás | 1.1.0 |
Tűzfal üzembe helyezése a vállalati hálózat peremhálózatán
Azonosító: Microsoft cloud security benchmark NS-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0-előzetes verzió |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások brute force módszerrel próbálják megszerezni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
DDOS-védelem üzembe helyezése
Azonosító: Microsoft felhőbiztonsági referenciaérték NS-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.1 |
Webalkalmazási tűzfal üzembe helyezése
Azonosító: Microsoft cloud security benchmark NS-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Auditálás, tiltás, letiltva | 1.0.2 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Auditálás, tiltás, letiltva | 2.0.0 |
Nem biztonságos szolgáltatások és protokollok észlelése és letiltása
Azonosító: Microsoft cloud security benchmark NS-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | Ellenőrzés, ha nem létezik, Letiltva | 2.1.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | Ellenőrzés, ha nem létezik, Letiltva | 2.1.0 |
Identitáskezelés
Központosított identitás- és hitelesítési rendszer használata
Azonosító: Microsoft cloud security benchmark IM-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A rugalmas Azure PostgreSQL-kiszolgálónak engedélyeznie kell a Csak Microsoft Entra-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak a Microsoft Entra-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a rugalmas Azure PostgreSQL-kiszolgálóhoz kizárólag a Microsoft Entra-identitások férhessenek hozzá. | Ellenőrzés, letiltva | 1.0.0-előzetes verzió |
| A PostgreSQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda ellenőrzése a PostgreSQL-kiszolgálóhoz, hogy engedélyezze a Microsoft Entra-hitelesítést. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Az Azure Active Directory rendszergazda üzembe helyezésének ellenőrzése az SQL-szerveréhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az engedélyek egyszerűsített kezelését és a központosított identitáskezelést az adatbázis-felhasználók és más Microsoft-szolgáltatások esetében. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) letiltása ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Auditálás, tiltás, letiltva | 1.1.0 |
| Az Azure Machine Learning Computesben le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása azáltal javítja a biztonságot, hogy a Machine Learning Computes csak a hitelesítéshez igényel Azure Active Directory-identitásokat. További információ: https://aka.ms/azure-ml-aad-policy. | Auditálás, tiltás, letiltva | 2.1.0 |
| Az Azure SQL-adatbázisnak engedélyeznie kell a kizárólag Microsoft Entra alapú hitelesítést | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a kiszolgálók létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Auditálás, tiltás, letiltva | 1.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a microsoft entra-only hitelesítést a létrehozás során | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítéssel történő létrehozását követelheti meg. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Auditálás, tiltás, letiltva | 1.2.0 |
| A felügyelt Azure SQL-példánynak engedélyeznie kell a Microsoft Entra-hitelesítést | Megkövetelheti, hogy a felügyelt Azure SQL-példány csak Microsoft Entra-hitelesítést használjon. Ez a szabályzat nem akadályozza meg, hogy a felügyelt Azure SQL-példányok helyi hitelesítéssel legyenek létrehozva. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Auditálás, tiltás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak engedélyezniük kell a microsoft entra-only hitelesítést a létrehozás során | Követelje meg, hogy a felügyelt Azure SQL-példány kizárólag Microsoft Entra-hitelesítéssel legyen létrehozva. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Auditálás, tiltás, letiltva | 1.2.0 |
| A Cosmos DB-adatbázisfiókoknak le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy a Cosmos DB-adatbázisfiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditálás, tiltás, letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Auditálás, tiltás, letiltva | 1.1.0 |
| A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését | Az Azure Active Directory (Azure AD) ellenőrzési követelménye a tárfiókhoz vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és könnyű használatot biztosít a megosztott kulcshoz képest, ezért a Microsoft ennek a használatát javasolja. | Auditálás, tiltás, letiltva | 2.0.0 |
| A Synapse-munkaterületeken engedélyezni kell a Microsoft Entra-hitelesítést | A Synapse-munkaterületeknek csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Auditálás, tiltás, letiltva | 1.0.0 |
| A Synapse-munkaterületek csak Microsoft Entra-identitásokat használhatnak hitelesítéshez a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel hozhatók létre. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Auditálás, tiltás, letiltva | 1.2.0 |
| A VPN-átjáróknak csak Az Azure Active Directory (Azure AD) hitelesítését kell használniuk a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory-identitásokat használnak a hitelesítéshez. További információ az Azure AD-hitelesítésről: https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditálás, tiltás, letiltva | 1.0.0 |
Alkalmazásidentitások biztonságos és automatikus kezelése
Azonosító: Microsoft cloud security benchmark IM-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
Kiszolgáló és szolgáltatások hitelesítése
Azonosító: Microsoft cloud security benchmark IM-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure API Management API-végpontjait hitelesíteni kell | Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. További információ az OWASP API-fenyegetésről a hibás felhasználói hitelesítéshez: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat | Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre. | Auditálás, Letiltva, Megtagadás | 1.0.1 |
| Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést | Az API biztonságának javítása érdekében az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést. | Auditálás, Letiltva, Megtagadás | 1.0.2 |
| Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Auditálás, Letiltva, Megtagadás | 2.0.0 |
Erős hitelesítési vezérlők használata
Azonosító: Microsoft cloud security benchmark IM-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak használata SSH-val továbbra is sebezhetővé teszi a virtuális gépet a brute force támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | Ellenőrzés, ha nem létezik, Letiltva | 3.2.0 |
A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Azonosító: Microsoft cloud security benchmark IM-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Auditálás, tiltás, letiltva | 1.0.1 |
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek az API Management szolgáltatásokban található név- és értékpárok gyűjteménye. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Auditálás, Letiltva, Megtagadás | 1.0.2 |
| A gépek titkos megállapításait meg kell oldani | Ellenőrzi a virtuális gépeket, hogy megállapíthassa, tartalmaznak-e titkos eredményeket a virtuális gépekhez használható titkos átvizsgálási megoldásokból. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
Különleges hozzáférés
A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Azonosító: Microsoft cloud security benchmark PA-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyeket letiltottak a bejelentkezésről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az előfizetéshez több tulajdonos kijelölése javasolt | Javasolt több előfizetési tulajdonost kijelölni az adminisztrátori hozzáférés redundanciájának biztosítása érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
Fiókok és engedélyek folyamatos hozzáférésének elkerülése
Azonosító: Microsoft cloud security benchmark PA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
A felhasználói hozzáférés rendszeres áttekintése és egyeztetése
Azonosító: Microsoft cloud security benchmark PA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyeket letiltottak a bejelentkezésről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyeket letiltottak a bejelentkezésről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
A "Just Enough Administration" (legkisebb jogosultsági alapelv) elv követése
Azonosító: Microsoft cloud security benchmark PA-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az API Management-előfizetéseknek nem szabad minden API-ra vonatkozniuk | Az API Management-előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Auditálás, Letiltva, Megtagadás | 1.1.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörökkel szemben az olyan beépített szerepköröket naplózza, mint a "Tulajdonos", "Közreműködő" és "Olvasó", mivel az egyéni szerepkörök hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Ellenőrzés, letiltva | 1.0.1 |
| Az Azure Key Vaultnak RBAC-engedélymodellt kell használnia | Engedélyezze az RBAC engedélymodellt a Key Vaultokban. További információ: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Auditálás, tiltás, letiltva | 1.0.1 |
| Role-Based Hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Ellenőrzés, letiltva | 1.1.0 |
Adatvédelem
Bizalmas adatok felderítése, besorolása és címkézése
Azonosító: Microsoft cloud security benchmark DP-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Microsoft Defender for APIs szolgáltatást | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Id: Microsoft cloud security benchmark DP-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Mindegyik SQL felügyelt példány ellenőrzése speciális adatbiztonság nélkül. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for APIs szolgáltatást | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
Bizalmas adatok titkosítása átvitel közben
Id: Microsoft cloud security benchmark DP-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A gazdagép- és virtuálisgép-hálózatok legyenek védve az Azure Stack HCI-rendszereken | Az Azure Stack HCI-gazdahálózaton és a virtuálisgép-hálózati kapcsolatokon tárolt adatok védelme. | Ellenőrzés, Letiltva, EllenőrzésHaNemLétezik | 1.0.0-előzetes verzió |
| Az API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokkal, például HTTPS-sel vagy WSS-sel kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t. | Auditálás, Letiltva, Megtagadás | 2.0.2 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Auditálás, Letiltva, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | Ellenőrzés, ha nem létezik, Letiltva | 2.1.0 |
| Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Auditálás, Letiltva, Megtagadás | 2.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Ellenőrzés, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Ellenőrzés, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Auditálás, Letiltva, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | Ellenőrzés, ha nem létezik, Letiltva | 2.1.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 8.2.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolatok engedélyezésének auditálása az Azure Cache for Redisben. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Auditálás, tiltás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiókodban lévő biztonságos átvitel ellenőrzési követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Auditálás, tiltás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | Ellenőrzés, ha nem létezik, Letiltva | 4.1.1 |
Adatok engedélyezése inaktív titkosításkor alapértelmezés szerint
Azonosító: Microsoft cloud security benchmark DP-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A MySQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda kiépítésének ellenőrzése a MySQL-kiszolgálón, hogy a Microsoft Entra-hitelesítést engedélyezze. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | Ellenőrzés, ha nem létezik, Letiltva | 1.1.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Auditálás, tiltás, letiltva | 1.1.0 |
| A rugalmas Azure MySQL-kiszolgálónak engedélyeznie kell a Microsoft Entra-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak a Microsoft Entra-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a rugalmas Azure MySQL-kiszolgálóhoz kizárólag a Microsoft Entra-identitások férhessenek hozzá. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | Ellenőrzés, ha nem létezik, Letiltva | 1.2.1 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Auditálás, tiltás, letiltva | 1.1.0 |
| Engedélyezni kell az SQL-adatbázisok transzparens adattitkosítását | Az átlátszó adattitkosítást engedélyezni kell az álló adatok védelme és a megfelelőségi követelmények teljesítése érdekében. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| A virtuális gépeknek és a virtuális gép méretezési csoportoknak engedélyezniük kell a gazdagép szintű titkosítást | Gazdakörnyezet titkosításának használatával végponttól végpontig terjedő titkosítást érhet el virtuális gépe és virtuális gép skálázási készletei adatainak védelmére. A gazdagépen végzett titkosítás lehetővé teszi az ideiglenes lemez és az operációs rendszer/adatlemez gyorsítótárainak titkosítását nyugalmi állapotban. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Auditálás, tiltás, letiltva | 1.0.0 |
| A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | Ellenőrzés, ha nem létezik, Letiltva | 1.1.1 |
Ügyfél által kezelt kulcs lehetőség használata inaktív titkosítási adatokban, ha szükséges
Id: Microsoft cloud security benchmark DP-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Stack HCI-rendszereknek titkosított kötetekkel kell rendelkezniük | A BitLocker használatával titkosíthatja az operációs rendszert és az adatköteteket az Azure Stack HCI-rendszereken. | Ellenőrzés, Letiltva, EllenőrzésHaNemLétezik | 1.0.0-előzetes verzió |
| Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Auditálás, tiltás, letiltva | 2.2.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen ellenőrizheti és kezelheti a kulcs életciklusát, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 1.1.0 |
| Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen ellenőrizheti és kezelheti a kulcs életciklusát, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Auditálás, tiltás, letiltva | 1.1.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen ellenőrizheti és kezelheti a kulcs életciklusát, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Auditálás, tiltás, letiltva | 1.1.2 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen ellenőrizheti és kezelheti a kulcs életciklusát, beleértve a rotációt és a felügyeletet is. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.4 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen ellenőrizheti és kezelheti a kulcs életciklusát, beleértve a rotációt és a felügyeletet is. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.4 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Auditálás, tiltás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Auditálás, tiltás, letiltva | 2.0.1 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Növelje blob- és fájltárolási fiókja biztonságát nagyobb rugalmassággal, ügyfélkezelt kulcsokkal. Amikor ügyfél által kezelt kulcsot ad meg, a kulcsot az adatok titkosító kulcsához való hozzáférés védelmére és szabályozására használják. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Ellenőrzés, letiltva | 1.0.3 |
Biztonságos kulcskezelési folyamat használata
Id: Microsoft cloud security benchmark DP-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek az API Management szolgáltatásokban található név- és értékpárok gyűjteménye. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Auditálás, Letiltva, Megtagadás | 1.0.2 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Auditálás, tiltás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Auditálás, tiltás, letiltva | 1.0.2 |
Biztonságos tanúsítványkezelési folyamat használata
Id: Microsoft cloud security benchmark DP-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények teljesítéséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstárban. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 2.2.1 |
A kulcs- és tanúsítványtár biztonságának biztosítása
Id: Microsoft cloud security benchmark DP-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat, vagy le kell tiltani a nyilvános hálózati hozzáférést | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára, vagy tiltsa le a nyilvános hálózati hozzáférést a kulcstartóhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security és https://aka.ms/akvprivatelink | Auditálás, tiltás, letiltva | 3.3.0 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [paraméterek('audit hatása')] | 1.2.1 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstár rosszindulatú törlése visszafordíthatatlan adatvesztést eredményezhet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a visszaállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásoktól. A helyreállítható törlés megőrzési időszaka alatt a szervezetén vagy a Microsoftnál belül senki sem fogja tudni kiüríteni a kulcstárakat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Auditálás, tiltás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstároló véletlen törlése tartós adatvesztéshez vezethet. A puha törlés lehetővé teszi, hogy egy véletlenül törölt kulcstárat visszaállítson egy beállítható megőrzési időszak során. | Auditálás, tiltás, letiltva | 3.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy biztonsági incidens vagy a hálózat kompromittálódása esetén megvizsgálási célokra újra létrehozza a tevékenységi útvonalakat. | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
Objektumkezelés
Csak jóváhagyott szolgáltatások használata
Id: Microsoft felhőbiztonsági referenciaérték AM-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure API Management platformverziójának stv2-nek kell lennie | Az Azure API Management stv1 számítási platformjának verziója 2024. augusztus 31-én megszűnik, és a folyamatos támogatás érdekében ezeket a példányokat át kell telepíteni az stv2 számítási platformra. További információ: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditálás, tiltás, letiltva | 1.0.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Auditálás, tiltás, letiltva | 1.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Auditálás, tiltás, letiltva | 1.0.0 |
Az objektuméletciklus-kezelés biztonságának garantálása
Id: Microsoft cloud security benchmark AM-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból | Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet a szervezet számára. Ezek lehetnek olyan API-k, amelyeknek elavultnak kellett volna lenniük az Azure API Management szolgáltatásból, de előfordulhat, hogy véletlenül aktívak maradtak. Az ilyen API-k általában nem a legfrissebb biztonsági lefedettséget kapják. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
Naplózás és fenyegetésészlelés
Fenyegetésészlelési képességek engedélyezése
Azonosító: Microsoft cloud security benchmark LT-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük a Microsoft Defender for Cloud bővítménynek | A Microsoft Defender for Cloud Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtjei számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | Ellenőrzés, ha nem létezik, Letiltva | 6.0.0-előzetes verzió |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és figyelmeztet a gyanús tevékenységekre. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók auditálása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett rugalmas MySQL-kiszolgálókon | Rugalmas MySQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Mindegyik SQL felügyelt példány ellenőrzése speciális adatbiztonság nélkül. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Ellenőrzés, letiltva | 2.0.1 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM elérhető a Felhőhöz készült Defenderben alapértelmezés szerint bekapcsolt ingyenes alapszintű biztonsági állapot képességek mellett. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for APIs szolgáltatást | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Arc-funkcióval rendelkező SQL-kiszolgálók esetében a Microsoft Defender for SQL biztonsági állapotának védettnek kell lennie | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Ellenőrzés, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Annak biztosítása érdekében, hogy az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védettek legyenek, gondoskodjon arról, hogy az SQL-re célzott Azure Monitoring Agent automatikusan üzembe legyen helyezve. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez
Azonosító: Microsoft cloud security benchmark LT-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük a Microsoft Defender for Cloud bővítménynek | A Microsoft Defender for Cloud Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtjei számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | Ellenőrzés, ha nem létezik, Letiltva | 6.0.0-előzetes verzió |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és figyelmeztet a gyanús tevékenységekre. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók auditálása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett rugalmas MySQL-kiszolgálókon | Rugalmas MySQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Mindegyik SQL felügyelt példány ellenőrzése speciális adatbiztonság nélkül. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Ellenőrzés, letiltva | 2.0.1 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM elérhető a Felhőhöz készült Defenderben alapértelmezés szerint bekapcsolt ingyenes alapszintű biztonsági állapot képességek mellett. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Arc-funkcióval rendelkező SQL-kiszolgálók esetében a Microsoft Defender for SQL biztonsági állapotának védettnek kell lennie | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Ellenőrzés, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Annak biztosítása érdekében, hogy az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védettek legyenek, gondoskodjon arról, hogy az SQL-re célzott Azure Monitoring Agent automatikusan üzembe legyen helyezve. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
Naplózás engedélyezése biztonsági vizsgálathoz
Azonosító: Microsoft cloud security benchmark LT-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének auditálása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.1 |
| Engedélyezni kell az auditálást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| Engedélyezni kell a diagnosztikai naplókat az Azure AI-szolgáltatások erőforrásaiban | Naplók engedélyezése az Azure AI-szolgáltatások erőforrásaihoz. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, biztonsági incidensek vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az Azure Databricks-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | Az Azure Kubernetes Service erőforrásnaplói segíthetnek újra létrehozni a tevékenységnaplókat a biztonsági incidensek vizsgálata során. Engedélyezze, hogy a naplók szükség esetén elérhetők legyenek. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Machine Learning-munkaterületeken | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy biztonsági incidens vagy a hálózat kompromittálódása esetén megvizsgálási célokra újra létrehozza a tevékenységi útvonalakat. | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Keresési szolgáltatásokban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók auditálásának engedélyezése. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | Ellenőrzés, ha nem létezik, Letiltva | 5.0.0 |
Hálózati naplózás engedélyezése biztonsági vizsgálathoz
Azonosító: Microsoft cloud security benchmark LT-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2-előzetes verzió |
A biztonsági naplók kezelésének és elemzésének központosítása
Id: Microsoft felhőbiztonsági szabvány LT-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1-előzetes verzió |
Naplótárolás megőrzésének konfigurálása
Azonosító: Microsoft felhőbiztonsági referenciaérték LT-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
Incidensmegoldás
Előkészítés – incidensértesítés beállítása
Azonosító: Microsoft cloud security benchmark IR-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | Ellenőrzés, ha nem létezik, Letiltva | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | Ellenőrzés, ha nem létezik, Letiltva | 2.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
Észlelés és elemzés – incidensek létrehozása kiváló minőségű riasztások alapján
Azonosító: Microsoft cloud security benchmark IR-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és figyelmeztet a gyanús tevékenységekre. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók auditálása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett rugalmas MySQL-kiszolgálókon | Rugalmas MySQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Mindegyik SQL felügyelt példány ellenőrzése speciális adatbiztonság nélkül. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM elérhető a Felhőhöz készült Defenderben alapértelmezés szerint bekapcsolt ingyenes alapszintű biztonsági állapot képességek mellett. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for APIs szolgáltatást | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Arc-funkcióval rendelkező SQL-kiszolgálók esetében a Microsoft Defender for SQL biztonsági állapotának védettnek kell lennie | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Ellenőrzés, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Annak biztosítása érdekében, hogy az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védettek legyenek, gondoskodjon arról, hogy az SQL-re célzott Azure Monitoring Agent automatikusan üzembe legyen helyezve. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
Észlelés és elemzés – incidens kivizsgálása
Id: Microsoft cloud security benchmark IR-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a hálózati feltételek monitorozását és diagnosztizálását különböző forgatókönyvek szintjén az Azure-ban, az Azure felé, és az Azure-ból. A forgatókönyv-szintű monitorozás lehetővé teszi a problémák diagnosztizálását a hálózat végponttól végpontig terjedő szintjén. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
Észlelés és elemzés – incidensek rangsorolása
Azonosító: AMicrosoft felhőbiztonsági teljesítményteszt IR-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és figyelmeztet a gyanús tevékenységekre. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók auditálása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett rugalmas MySQL-kiszolgálókon | Rugalmas MySQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Mindegyik SQL felügyelt példány ellenőrzése speciális adatbiztonság nélkül. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM elérhető a Felhőhöz készült Defenderben alapértelmezés szerint bekapcsolt ingyenes alapszintű biztonsági állapot képességek mellett. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for APIs szolgáltatást | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az Arc-funkcióval rendelkező SQL-kiszolgálók esetében a Microsoft Defender for SQL biztonsági állapotának védettnek kell lennie | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Ellenőrzés, letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Annak biztosítása érdekében, hogy az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védettek legyenek, gondoskodjon arról, hogy az SQL-re célzott Azure Monitoring Agent automatikusan üzembe legyen helyezve. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
Biztonsághelyzet- és sebezhetőség-kezelés
Biztonságos konfigurációk naplózása és kényszerítése
Azonosító: Microsoft cloud security benchmark PV-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az API Management közvetlen felügyeleti végpontja nem engedélyezhető | Az Azure API Management közvetlen felügyeleti REST API-ja megkerüli az Azure Resource Manager szerepköralapú hozzáférés-kezelési, engedélyezési és szabályozási mechanizmusait, ezzel növelve a szolgáltatás sebezhetőségét. | Auditálás, Letiltva, Megtagadás | 1.0.2 |
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Auditálás, tiltás, letiltva | 1.0.1 |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| Az Azure API Management platformverziójának stv2-nek kell lennie | Az Azure API Management stv1 számítási platformjának verziója 2024. augusztus 31-én megszűnik, és a folyamatos támogatás érdekében ezeket a példányokat át kell telepíteni az stv2 számítási platformra. További információ: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditálás, tiltás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | Ellenőrzés, ha nem létezik, Letiltva | 1.1.0 |
| Az Azure Machine Learning számítási példányait újra létre kell hozni a legújabb szoftverfrissítések beszerzéséhez | Győződjön meg arról, hogy az Azure Machine Learning számítási példányai a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. | [paraméterek('hatások')] | 1.0.3 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes szolgáltatás (AKS) számára készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű érvényesítéseket és védelmi intézkedéseket. | Ellenőrzés, letiltva | 1.0.2 |
| A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tárolók CPU- és memóriaerőforrás-korlátainak érvényesítése az erőforráskimerítési támadások megelőzése érdekében egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 9.3.0 |
| A Kubernetes klaszter konténerei nem oszthatják meg a gazdagép folyamatazonosítóját vagy az IPC nevterét | Tiltsa le, hogy a podtárolók megosszák a gazdagép folyamatazonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 5.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak a Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt konténerek csak engedélyezett képfájlokat használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a konténereket írásvédett gyökér fájlrendszerrel, hogy védelmet nyújtson a futtatási időben bekövetkező változások ellen, és a PATH-hoz nem adódjanak hozzá rosszindulatú bináris fájlok egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.3.0 |
| A Kubernetes klaszter pod hostPath kötetei csak engedélyezett gazdagép-útvonalakat használhatnak | A podok HostPath kötet csatolásának korlátozása a Kubernetes-fürtön engedélyezett gazdagép elérési utakra. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A Kubernetes-fürtben futtatható podok és konténerek esetén szabályozza a felhasználói, az elsődleges csoport-, a kiegészítő csoport- és a fájlrendszeri csoportazonosítókat. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai csak az engedélyezett host hálózatot és porttartományt használhatják | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A Kubernetes-fürt hozzáférésének biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon legyenek elérhetők. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 8.2.0 |
| A Kubernetes-fürt nem szabad, hogy engedélyezze a privilégizált konténereket | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürtöknek le kell tiltaniuk az API-hitelesítő adatok automatikus csatolását | Kapcsolja ki az API-hitelesítő adatok automatikus felcsatolását, hogy megakadályozza egy potenciálisan kompromittált Pod erőforrásnak az API-parancsok futtatását a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 4.2.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne tegye lehetővé, hogy a tárolók jogosultsági szint emeléssel root jogokkal fussanak a Kubernetes-fürtben. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 7.2.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem az alapértelmezett névteret használhatják | A Kubernetes-fürtök alapértelmezett névterének használatát meg kell akadályozni a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | auditálás, Auditálás, megtagadás, Megtagadás, letiltva, Letiltva | 4.2.0 |
Számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése
Azonosító: Microsoft cloud security benchmark PV-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak következetesen érvényes alkalmazásvezérlési szabályzatokkal kell rendelkezniük | Legalább alkalmazza a Microsoft WDAC alapszabályzatát kényszerített módban az összes Azure Stack HCI-kiszolgálón. Az alkalmazott Windows Defender alkalmazásvezérlő (WDAC) szabályzatoknak egységesnek kell lenniük az ugyanazon fürt kiszolgálói között. | Ellenőrzés, Letiltva, EllenőrzésHaNemLétezik | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak meg kell felelniük a biztonságos magra vonatkozó követelményeknek | Győződjön meg arról, hogy minden Azure Stack HCI-kiszolgáló megfelel a biztonságos magra vonatkozó követelményeknek. A biztonságos magú kiszolgálóra vonatkozó követelmények engedélyezéséhez: 1. Az Azure Stack HCI-fürtök oldalán nyissa meg a Windows Admin Center-t, és kattintson a Csatlakozásra. 2. Lépjen a Biztonsági bővítményre, és válassza a Biztonságos mag lehetőséget. 3. Jelölje ki a nem engedélyezett beállításokat, és kattintson az Engedélyezés gombra. | Ellenőrzés, Letiltva, EllenőrzésHaNemLétezik | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | Ellenőrzés, ha nem létezik, Letiltva | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk | Minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Ellenőrzés, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Ellenőrzés, letiltva | 2.0.0-előzetes verzió |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítmény által figyelt vendégbeállítások közé tartozik az operációs rendszer konfigurációja, az alkalmazások beállításai vagy meglétének ellenőrzése, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek ki legyenek helyezve a szabályzatkörébe tartozó hatókörben. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | Ellenőrzés, ha nem létezik, Letiltva | 2.2.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek ki legyenek helyezve a szabályzatkörébe tartozó hatókörben. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
Biztonságirés-felmérés végrehajtása
Id: Microsoft cloud security benchmark PV-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| A gépek titkos megállapításait meg kell oldani | Ellenőrzi a virtuális gépeket, hogy megállapíthassa, tartalmaznak-e titkos eredményeket a virtuális gépekhez használható titkos átvizsgálási megoldásokból. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.2 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példányt ellenőrizze, amelynél nincsenek engedélyezve az ismétlődő vizsgálatok a biztonsági rések felmérésére. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
Biztonsági rések gyors és automatikus elhárítása
Id: Microsoft felhőbiztonsági referenciaérték PV-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (a Microsoft Defender sebezhetőségi kezelése működteti) | A konténerkép sebezhetőségi felmérése megvizsgálja a regisztrárban található gyakran ismert biztonsági réseket (CVE-ket), és részletes sebezhetőségi jelentést nyújt az egyes képekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (a Microsoft Defender sebezhetőségi kezelése működteti) | A konténerkép sebezhetőségi felmérése megvizsgálja a regisztrárban található gyakran ismert biztonsági réseket (CVE-ket), és részletes sebezhetőségi jelentést nyújt az egyes képekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket | Annak érdekében, hogy a hiányzó rendszerfrissítések rendszeres értékelése 24 óránként automatikusan aktiválódjon, az AssessmentMode tulajdonságot az "AutomaticByPlatform" értékre kell állítani. További információ a AssessmentMode tulajdonságról a Windowshoz: https://aka.ms/computevm-windowspatchassessmentmode, Linuxhoz: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditálás, tiltás, letiltva | 3.8.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | Ellenőrzés, ha nem létezik, Letiltva | 4.1.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes függőben lévő javítás telepítéséhez és a gépek biztonságossá tételéhez kövesse a helyreállítási lépéseket. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
Végpont biztonsága
Végpontészlelés és -válasz (EDR) használata
Id: Microsoft cloud security benchmark ES-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.3 |
Modern kártevőirtó szoftverek használata
Id: Microsoft cloud security benchmark ES-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | Ellenőrzés, ha nem létezik, Letiltva | 2.0.0 |
Biztonsági mentés és helyreállítás
Rendszeres automatikus biztonsági mentések biztosítása
Azonosító: Microsoft cloud security benchmark BR-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
Biztonsági mentési és helyreállítási adatok védelme
Azonosító: Microsoft cloud security benchmark BR-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | Ellenőrzés, ha nem létezik, Letiltva | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Ellenőrzés, letiltva | 1.0.1 |
DevOps Security
A számítási feladatok biztonságának érvényesítése a DevOps teljes életciklusa során
Azonosító: Microsoft cloud security benchmark DS-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (a Microsoft Defender sebezhetőségi kezelése működteti) | A konténerkép sebezhetőségi felmérése megvizsgálja a regisztrárban található gyakran ismert biztonsági réseket (CVE-ket), és részletes sebezhetőségi jelentést nyújt az egyes képekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (a Microsoft Defender sebezhetőségi kezelése működteti) | A konténerkép sebezhetőségi felmérése megvizsgálja a regisztrárban található gyakran ismert biztonsági réseket (CVE-ket), és részletes sebezhetőségi jelentést nyújt az egyes képekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | Ellenőrzés, ha nem létezik, Letiltva | 1.0.1 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- Tekintse át a politikai intézkedések hatásait.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrások problémáit.