Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezési definíciója hogyan képezi le a megfelelőségi területekre és vezérlőkre a Canada Federal PBMM-ben. Erről a megfelelőségi szabványról további információt a Canada Federal PBMM című témakörben talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
A következő leképezések a Kanadai Szövetségi PBMM-vezérlőkre irányulnak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a Canada Federal PBMM Regulatory Compliance beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a kontrollnak való megfelelőséget; azonban gyakran nincs egyértelmű vagy teljes egyezés egy kontroll és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; Ez nem biztosítja, hogy teljes mértékben megfeleljen egy vezérlő minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részleges képet ad a teljes megfelelőségi állapotról. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Hozzáférés-vezérlés
Fiókkezelés
Azonosító: CCCS AC-2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. A letiltott fiókok olyan fiókok, amelyeket nem lehet bejelentkezni. | AuditHaNemLétezik, Letiltva | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. A letiltott fiókok olyan fiókok, amelyeket nem lehet bejelentkezni. | AuditHaNemLétezik, Letiltva | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditHaNemLétezik, Letiltva | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditHaNemLétezik, Letiltva | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditHaNemLétezik, Letiltva | 1.0.0 |
Fiókkezelés | Szerepköralapú sémák
Azonosító: CCCS AC-2(7)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezése az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az egyszerűsített jogosultságkezelést és a központosított identitáskezelést adatbázis-felhasználók és más Microsoft-szolgáltatások számára. | AuditHaNemLétezik, Letiltva | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Ellenőrzés, Megtagadás, Letiltva | 1.1.0 |
Információáramlás-ellenőrzés
Azonosító: CCCS AC-4
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditHaNemLétezik, Letiltva | 2.0.0 |
A vámok elkülönítése
Azonosító: CCCS AC-5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditHaNemLétezik, Letiltva | 3.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| A Windows-gépek auditálása, amelyekből hiányzik bármelyik megadott tag a Rendszergazdák csoportban | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists # Ellenőrzés ha nem létezik | 2.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem felelnek meg, ha a helyi Rendszergazdák csoport egy vagy több, a szabályzati paraméterben felsorolt tagot tartalmaz. | auditIfNotExists # Ellenőrzés ha nem létezik | 2.0.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | telepít, ha nem létezik | 1.2.0 |
| Az előfizetéshez egynél több tulajdonosnak kell lennie rendelve | Javasoljuk, hogy jelöljön ki több előfizetés-tulajdonost a rendszergazdai hozzáférés redundanciájának biztosítása érdekében. | AuditHaNemLétezik, Letiltva | 3.0.0 |
Minimális jogosultság
Azonosító: CCCS AC-6
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditHaNemLétezik, Letiltva | 3.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| A Rendszergazdák csoportból bármelyik megadott tagot nélkülöző Windows-gépek ellenőrzése | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists # Ellenőrzés ha nem létezik | 2.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem felelnek meg, ha a helyi Rendszergazdák csoport egy vagy több, a szabályzati paraméterben felsorolt tagot tartalmaz. | auditIfNotExists # Ellenőrzés ha nem létezik | 2.0.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | telepít, ha nem létezik | 1.2.0 |
| Az előfizetéshez több tulajdonosnak kell lennie kijelölve | Javasoljuk, hogy jelöljön ki több előfizetés-tulajdonost a rendszergazdai hozzáférés redundanciájának biztosítása érdekében. | AuditHaNemLétezik, Letiltva | 3.0.0 |
Távelérés | Automatizált figyelés / vezérlés
Azonosító: CCCS AC-17(1)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditHaNemLétezik, Letiltva | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditHaNemLétezik, Letiltva | 3.1.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | telepít, ha nem létezik | 3.1.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditHaNemLétezik, Letiltva | 2.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Ellenőrzés, Megtagadás, Letiltva | 1.1.1 |
Auditálás és elszámoltathatóság
Auditálási rekordok tartalma
Azonosító: CCCS AU-3
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1-előzetes verzió |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditHaNemLétezik, Letiltva | 1.1.0 |
Válasz az auditálási feldolgozási hibákra
Azonosító: CCCS AU-5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | Ellenőrizd, ha nem létezik | 2.0.1 |
| Engedélyezni kell az auditálást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditHaNemLétezik, Letiltva | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL szerverek ellenőrzése speciális adatbiztonság nélkül | AuditHaNemLétezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden SQL-felügyelt példány auditálása speciális adatbiztonság nélkül. | AuditHaNemLétezik, Letiltva | 1.0.2 |
Audit létrehozása
Azonosító: CCCS AU-12
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1-előzetes verzió |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | Ellenőrizd, ha nem létezik | 2.0.1 |
| Engedélyezni kell az auditálást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditHaNemLétezik, Letiltva | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL szerverek ellenőrzése speciális adatbiztonság nélkül | AuditHaNemLétezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden SQL-felügyelt példány auditálása speciális adatbiztonság nélkül. | AuditHaNemLétezik, Letiltva | 1.0.2 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditHaNemLétezik, Letiltva | 1.1.0 |
Vészhelyzeti tervezés
Alternatív feldolgozási hely
Azonosító: CCCS CP-7
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Ellenőrizze azokat a virtuális gépeket, amelyeken nincs beállítva vészhelyreállítás. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists # Ellenőrzés ha nem létezik | 1.0.0 |
Azonosítás és hitelesítés
Hitelesítő kezelése
Azonosító: CCCS IA-5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Linux-gépek ellenőrzése, amelyeknél a passwd fájlengedélyek nincsenek 0644-re állítva | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem felelnek meg az előírásoknak, ha a Linux-gépeken a passwd fájlengedélyek nincsenek 0644-re állítva. | AuditHaNemLétezik, Letiltva | 3.1.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditHaNemLétezik, Letiltva | 3.1.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | telepít, ha nem létezik | 3.1.0 |
Authenticator Management | Jelszóalapú hitelesítés
Azonosító: CCCS IA-5(1)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditHaNemLétezik, Letiltva | 2.1.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditHaNemLétezik, Letiltva | 2.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditHaNemLétezik, Letiltva | 2.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditHaNemLétezik, Letiltva | 2.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Előírja, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek kihelyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditHaNemLétezik, Letiltva | 2.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | telepít, ha nem létezik | 1.2.0 |
Kockázatértékelés
Biztonsági rések vizsgálata
Azonosító: CCCS RA-5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditHaNemLétezik, Letiltva | 3.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL szerverek ellenőrzése speciális adatbiztonság nélkül | AuditHaNemLétezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden SQL-felügyelt példány auditálása speciális adatbiztonság nélkül. | AuditHaNemLétezik, Letiltva | 1.0.2 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditHaNemLétezik, Letiltva | 4.1.0 |
Rendszer- és kommunikációvédelem
Szolgáltatásmegtagadás elleni védelem
Azonosító: CCCS SC-5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditHaNemLétezik, Letiltva | 3.0.1 |
Határvédelem
Azonosító: CCCS SC-7
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák a saját erőforrásaikat. | AuditHaNemLétezik, Letiltva | 3.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Ellenőrzés, Megtagadás, Letiltva | 1.1.1 |
Határvédelem | Hozzáférési pontok
Azonosító: CCCS SC-7(3)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditHaNemLétezik, Letiltva | 3.0.0 |
Határvédelem | Külső távközlési szolgáltatások
Azonosító: CCCS SC-7(4)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditHaNemLétezik, Letiltva | 3.0.0 |
Továbbítási bizalmasság és integritás | Kriptográfiai vagy alternatív fizikai védelem
Azonosító: CCCS SC-8(1)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Ellenőrzés, Kikapcsolva, Tiltás | 4.0.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Ellenőrzés, Kikapcsolva, Tiltás | 5.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | SSL-en keresztüli kapcsolatok engedélyezésének ellenőrzése az Azure Cache for Redis szolgáltatásban. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Ellenőrzés, Megtagadás, Letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének audit követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Ellenőrzés, Megtagadás, Letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditHaNemLétezik, Letiltva | 4.1.1 |
Az inaktív adatok védelme
Azonosító: CCCS SC-28
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL szerverek ellenőrzése speciális adatbiztonság nélkül | AuditHaNemLétezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden SQL-felügyelt példány auditálása speciális adatbiztonság nélkül. | AuditHaNemLétezik, Letiltva | 1.0.2 |
| Engedélyezni kell az SQL-adatbázisok transzparens adattitkosítását | Az átlátszó adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelményeknek való megfelelés érdekében. | AuditHaNemLétezik, Letiltva | 2.0.0 |
Rendszer- és információintegritás
Hiba szervizelése
Azonosító: CCCS SI-2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditHaNemLétezik, Letiltva | 4.1.0 |
Információs rendszer monitorozása
Azonosító: CCCS SI-4
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1-előzetes verzió |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL szerverek ellenőrzése speciális adatbiztonság nélkül | AuditHaNemLétezik, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden SQL-felügyelt példány auditálása speciális adatbiztonság nélkül. | AuditHaNemLétezik, Letiltva | 1.0.2 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditHaNemLétezik, Letiltva | 2.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditHaNemLétezik, Letiltva | 1.1.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- Tekintse át a szabályzat hatásainak megértését.
- Megtudhatja, hogyan helyreállíthatja a meg nem felelő erőforrásokat.