Megosztás a következőn keresztül:


A FedRAMP magas szintű jogszabályi megfelelőség beépített kezdeményezésének részletei

Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képez le megfelelőségi tartományokra és -vezérlőkre a FedRAMP High-ban. Erről a megfelelőségi szabványról további információt a FedRAMP High című témakörben talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.

Az alábbi leképezések a FedRAMP High vezérlőkhöz tartoznak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a FedRAMP High Regulatory Compliance beépített kezdeményezési definícióját.

Fontos

Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.

Hozzáférés-vezérlés

Hozzáférés-vezérlési szabályzat és eljárások

Azonosító: FedRAMP High AC-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hozzáférés-vezérlési szabályzatok és eljárások fejlesztése CMA_0144 – Hozzáférés-vezérlési szabályzatok és eljárások fejlesztése Manuális, Letiltva 1.1.0
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése Manuális, Letiltva 1.1.0
Szabályzatok és eljárások szabályozása CMA_0292 – Szabályzatok és eljárások szabályozása Manuális, Letiltva 1.1.0
Hozzáférés-vezérlési szabályzatok és eljárások áttekintése CMA_0457 – Hozzáférés-vezérlési szabályzatok és eljárások áttekintése Manuális, Letiltva 1.1.0

Fiókkezelés

Id: FedRAMP High AC-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. AuditIfNotExists, Disabled 3.0.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Fiókkezelők hozzárendelése CMA_0015 – Fiókkezelők hozzárendelése Manuális, Letiltva 1.1.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Felhasználói fiók állapotának naplózása CMA_0020 – Felhasználói fiók állapotának naplózása Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
Megosztott és csoportfiókok feltételeinek meghatározása és kikényszerítése CMA_0117 – A megosztott és csoportfiókok feltételeinek meghatározása és kényszerítése Manuális, Letiltva 1.1.0
Információsrendszer-fióktípusok definiálása CMA_0121 – Információsrendszer-fióktípusok definiálása Manuális, Letiltva 1.1.0
Dokumentum-hozzáférési jogosultságok CMA_0186 – Dokumentum-hozzáférési jogosultságok Manuális, Letiltva 1.1.0
A szerepkör-tagság feltételeinek megállapítása CMA_0269 – A szerepkör-tagság feltételeinek megállapítása Manuális, Letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. AuditIfNotExists, Disabled 1.0.0
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Fióktevékenység figyelése CMA_0377 – Fióktevékenység figyelése Manuális, Letiltva 1.1.0
Ügyfél által felügyelt fiókok fiókkezelőinek értesítése CMA_C1009 – Ügyfél által felügyelt fiókok fiókkezelőinek értesítése Manuális, Letiltva 1.1.0
Hitelesítők újbóli kiadása megváltozott csoportokhoz és fiókokhoz CMA_0426 – A módosított csoportok és fiókok hitelesítőinek újbóli kiadása Manuális, Letiltva 1.1.0
Jóváhagyás megkövetelése fióklétrehozáshoz CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
Fiókkiépítési naplók áttekintése CMA_0460 – Fiókkiépítési naplók áttekintése Manuális, Letiltva 1.1.0
Felhasználói fiókok áttekintése CMA_0480 – Felhasználói fiókok áttekintése Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0

Automatizált rendszerfiók-kezelés

Azonosító: FedRAMP High AC-2 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Fiókkezelés automatizálása CMA_0026 – Fiókkezelés automatizálása Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Rendszer- és rendszergazdai fiókok kezelése CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése Manuális, Letiltva 1.1.0
Hozzáférés figyelése a szervezeten belül CMA_0376 – Hozzáférés figyelése a szervezeten belül Manuális, Letiltva 1.1.0
Értesítés arról, ha nincs szükség fiókra CMA_0383 – Értesítés arról, ha nincs szükség fiókra Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0

Inaktív fiókok letiltása

Azonosító: FedRAMP High AC-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hitelesítők letiltása a leállításkor CMA_0169 – Hitelesítők letiltása a megszüntetéskor Manuális, Letiltva 1.1.0
A kiemelt szerepkörök visszavonása a megfelelő módon CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása Manuális, Letiltva 1.1.0

Automatizált naplózási műveletek

Azonosító: FedRAMP High AC-2 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználói fiók állapotának naplózása CMA_0020 – Felhasználói fiók állapotának naplózása Manuális, Letiltva 1.1.0
Fiókkezelés automatizálása CMA_0026 – Fiókkezelés automatizálása Manuális, Letiltva 1.1.0
Rendszer- és rendszergazdai fiókok kezelése CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése Manuális, Letiltva 1.1.0
Hozzáférés figyelése a szervezeten belül CMA_0376 – Hozzáférés figyelése a szervezeten belül Manuális, Letiltva 1.1.0
Értesítés arról, ha nincs szükség fiókra CMA_0383 – Értesítés arról, ha nincs szükség fiókra Manuális, Letiltva 1.1.0

Inaktivitási kijelentkezés

Azonosító: FedRAMP High AC-2 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Inaktivitási naplószabályzat definiálása és kényszerítése CMA_C1017 – Inaktivitási naplószabályzat definiálása és kényszerítése Manuális, Letiltva 1.1.0

Szerepköralapú sémák

Azonosító: FedRAMP High AC-2 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Fióktevékenység figyelése CMA_0377 – Fióktevékenység figyelése Manuális, Letiltva 1.1.0
Kiemelt szerepkör-hozzárendelés figyelése CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
A kiemelt szerepkörök visszavonása a megfelelő módon CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
Emelt szintű identitáskezelés használata CMA_0533 – Emelt szintű identitáskezelés használata Manuális, Letiltva 1.1.0

A megosztott csoportok/fiókok használatára vonatkozó korlátozások

Azonosító: FedRAMP High AC-2 (9) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Megosztott és csoportfiókok feltételeinek meghatározása és kikényszerítése CMA_0117 – A megosztott és csoportfiókok feltételeinek meghatározása és kényszerítése Manuális, Letiltva 1.1.0

Megosztott/ csoportfiók hitelesítő adatainak megszüntetése

Id: FedRAMP High AC-2 (10) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Ügyfél által vezérelt fiók hitelesítő adatainak megszüntetése CMA_C1022 – Ügyfél által felügyelt fiók hitelesítő adatainak megszüntetése Manuális, Letiltva 1.1.0

Használati feltételek

Id: FedRAMP High AC-2 (11) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az összes fiók megfelelő használatának kényszerítése CMA_C1023 – Az összes fiók megfelelő használatának kényszerítése Manuális, Letiltva 1.1.0

Fiókfigyelés / Atipikus használat

Id: FedRAMP High AC-2 (12) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Fióktevékenység figyelése CMA_0377 – Fióktevékenység figyelése Manuális, Letiltva 1.1.0
Felhasználói fiókok atipikus viselkedésének jelentése CMA_C1025 – A felhasználói fiókok atipikus viselkedésének jelentése Manuális, Letiltva 1.1.0

Magas kockázatú személyek fiókjainak letiltása

Id: FedRAMP High AC-2 (13) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Jelentős kockázatot jelentő felhasználói fiókok letiltása CMA_C1026 – Jelentős kockázatot jelentő felhasználói fiókok letiltása Manuális, Letiltva 1.1.0

Hozzáférés kényszerítése

Id: FedRAMP High AC-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal AuditIfNotExists, Disabled 3.1.0
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Hozzáférés engedélyezése és kezelése CMA_0023 – Hozzáférés engedélyezése és kezelése Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
Logikai hozzáférés kényszerítése CMA_0245 – Logikai hozzáférés kényszerítése Manuális, Letiltva 1.1.0
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Jóváhagyás megkövetelése fióklétrehozáshoz CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz Manuális, Letiltva 1.1.0
Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0

Adatfolyam-kényszerítés

Id: FedRAMP High AC-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. AuditIfNotExists, Disabled 2.0.0
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
Információáramlás szabályozása CMA_0079 – Az információáramlás szabályozása Manuális, Letiltva 1.1.0
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása Manuális, Letiltva 1.1.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

Biztonsági házirend-szűrők

Id: FedRAMP High AC-4 (8) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információáramlás-vezérlés biztonsági szabályzatszűrők használatával CMA_C1029 – Információáramlás-vezérlés biztonsági szabályzatszűrők használatával Manuális, Letiltva 1.1.0

Az információs folyamatok fizikai/logikai elkülönítése

Id: FedRAMP High AC-4 (21) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információáramlás szabályozása CMA_0079 – Az információáramlás szabályozása Manuális, Letiltva 1.1.0
Tűzfal- és útválasztókonfigurációs szabványok létrehozása CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása Manuális, Letiltva 1.1.0
Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez Manuális, Letiltva 1.1.0
Alsóbb rétegbeli információcsere azonosítása és kezelése CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése Manuális, Letiltva 1.1.0

A feladatok elkülönítése

Id: FedRAMP High AC-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatásához CMA_0116 – Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatására Manuális, Letiltva 1.1.0
A feladatok elkülönítésének dokumentálása CMA_0204 – A feladatok elkülönítésének dokumentálása Manuális, Letiltva 1.1.0
Az egyének feladatainak elkülönítése CMA_0492 – A magánszemélyek feladatainak elkülönítése Manuális, Letiltva 1.1.0
Az előfizetéshez egynél több tulajdonosnak kell tartoznia Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. AuditIfNotExists, Disabled 3.0.0

Minimális jogosultság

Id: FedRAMP High AC-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. AuditIfNotExists, Disabled 3.0.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Hozzáférés-vezérlési modell tervezése CMA_0129 – Hozzáférés-vezérlési modell tervezése Manuális, Letiltva 1.1.0
Minimális jogosultsági hozzáférés alkalmazása CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása Manuális, Letiltva 1.1.0

Biztonsági függvényekhez való hozzáférés engedélyezése

Azonosító: FedRAMP High AC-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Hozzáférés engedélyezése és kezelése CMA_0023 – Hozzáférés engedélyezése és kezelése Manuális, Letiltva 1.1.0
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése Manuális, Letiltva 1.1.0

Kiemelt fiókok

Azonosító: FedRAMP High AC-6 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0

Felhasználói jogosultságok áttekintése

Azonosító: FedRAMP High AC-6 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. AuditIfNotExists, Disabled 3.0.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Felhasználói jogosultságok újbóli hozzárendelése vagy eltávolítása szükség szerint CMA_C1040 – Felhasználói jogosultságok szükség szerinti hozzárendelése vagy eltávolítása Manuális, Letiltva 1.1.0
Felhasználói jogosultságok áttekintése CMA_C1039 – Felhasználói jogosultságok áttekintése Manuális, Letiltva 1.1.0

Jogosultsági szintek a kódvégrehajtáshoz

Id: FedRAMP High AC-6 (8) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szoftvervégrehajtási jogosultságok kényszerítése CMA_C1041 – Szoftvervégrehajtási jogosultságok kényszerítése Manuális, Letiltva 1.1.0

Kiemelt függvények használatának naplózása

Id: FedRAMP High AC-6 (9) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Naplózott emelt szintű parancsok teljes szöveges elemzése CMA_0056 – Naplózott kiemelt parancsok teljes szöveges elemzése Manuális, Letiltva 1.1.0
Kiemelt szerepkör-hozzárendelés figyelése CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
A kiemelt szerepkörök visszavonása a megfelelő módon CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása Manuális, Letiltva 1.1.0
Emelt szintű identitáskezelés használata CMA_0533 – Emelt szintű identitáskezelés használata Manuális, Letiltva 1.1.0

Sikertelen bejelentkezési kísérletek

Id: FedRAMP High AC-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése CMA_C1044 – Az egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése Manuális, Letiltva 1.1.0

Egyidejű munkamenet-vezérlés

Azonosító: FedRAMP High AC-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az egyidejű munkamenetek korlátjának meghatározása és kényszerítése CMA_C1050 – Az egyidejű munkamenetek korlátjának meghatározása és kényszerítése Manuális, Letiltva 1.1.0

Munkamenet leállítása

Id: FedRAMP High AC-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználói munkamenet automatikus megszakítása CMA_C1054 – A felhasználói munkamenet automatikus megszakítása Manuális, Letiltva 1.1.0

Felhasználó által kezdeményezett kijelentkezések / üzenetkijelenések

Id: FedRAMP High AC-12 (1) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Explicit kijelentkezés üzenetének megjelenítése CMA_C1056 – Explicit kijelentkezés üzenet megjelenítése Manuális, Letiltva 1.1.0
Adja meg a bejelentkezési képességet CMA_C1055 – Adja meg a kijelentkezés képességét Manuális, Letiltva 1.1.0

Azonosítás vagy hitelesítés nélküli engedélyezett műveletek

Id: FedRAMP High AC-14 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hitelesítés nélkül engedélyezett műveletek azonosítása CMA_0295 – Hitelesítés nélkül engedélyezett műveletek azonosítása Manuális, Letiltva 1.1.0

Távelérés

Id: FedRAMP High AC-17 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból AuditIfNotExists, Disabled 3.1.0
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Dokumentum-mobilitási képzés CMA_0191 – Dokumentum-mobilitási képzés Manuális, Letiltva 1.1.0
Dokumentum távelérési irányelvei CMA_0196 – Dokumentum távelérési irányelvei Manuális, Letiltva 1.1.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez Manuális, Letiltva 1.1.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Adatvédelmi képzés biztosítása CMA_0415 – Adatvédelmi képzés biztosítása Manuális, Letiltva 1.1.0
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

Automatizált figyelés / vezérlés

Id: FedRAMP High AC-17 (1) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból AuditIfNotExists, Disabled 3.1.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Hozzáférés figyelése a szervezeten belül CMA_0376 – Hozzáférés figyelése a szervezeten belül Manuális, Letiltva 1.1.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

A bizalmasság/ integritás védelme titkosítással

Id: FedRAMP High AC-17 (2) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről Manuális, Letiltva 1.1.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0

Felügyelt hozzáférés-vezérlési pontok

Id: FedRAMP High AC-17 (3) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül CMA_0484 – Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül Manuális, Letiltva 1.1.0

Emelt szintű parancsok / Hozzáférés

Id: FedRAMP High AC-17 (4) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
A kiemelt parancsokhoz való távoli hozzáférés engedélyezése CMA_C1064 – A kiemelt parancsokhoz való távoli hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Dokumentum távelérési irányelvei CMA_0196 – Dokumentum távelérési irányelvei Manuális, Letiltva 1.1.0
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez Manuális, Letiltva 1.1.0
Adatvédelmi képzés biztosítása CMA_0415 – Adatvédelmi képzés biztosítása Manuális, Letiltva 1.1.0

Kapcsolat bontása /Hozzáférés letiltása

Id: FedRAMP High AC-17 (9) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Lehetőség biztosítása a távelérés leválasztására vagy letiltására CMA_C1066 – Lehetővé teszi a távelérés leválasztását vagy letiltását Manuális, Letiltva 1.1.0

Vezeték nélküli hozzáférés

Azonosító: FedRAMP High AC-18 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása Manuális, Letiltva 1.1.0
Vezeték nélküli hozzáférés védelme CMA_0411 – Vezeték nélküli hozzáférés védelme Manuális, Letiltva 1.1.0

Hitelesítés és titkosítás

Azonosító: FedRAMP High AC-18 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása Manuális, Letiltva 1.1.0
Hálózati eszközök azonosítása és hitelesítése CMA_0296 – Hálózati eszközök azonosítása és hitelesítése Manuális, Letiltva 1.1.0
Vezeték nélküli hozzáférés védelme CMA_0411 – Vezeték nélküli hozzáférés védelme Manuális, Letiltva 1.1.0

Hozzáférés-vezérlés mobileszközökhöz

Id: FedRAMP High AC-19 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobileszköz-követelmények meghatározása CMA_0122 – Mobileszköz-követelmények meghatározása Manuális, Letiltva 1.1.0

Teljes eszköz/tárolóalapú titkosítás

Azonosító: FedRAMP High AC-19 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobileszköz-követelmények meghatározása CMA_0122 – Mobileszköz-követelmények meghatározása Manuális, Letiltva 1.1.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0

Külső információs rendszerek használata

Azonosító: FedRAMP High AC-20 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az erőforrások elérésére vonatkozó feltételek és feltételek létrehozása CMA_C1076 – Az erőforrásokhoz való hozzáférés feltételeinek és feltételeinek meghatározása Manuális, Letiltva 1.1.0
Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása CMA_C1077 – Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása Manuális, Letiltva 1.1.0

Engedélyezett használat korlátozásai

Id: FedRAMP High AC-20 (1) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Külső információs rendszerek biztonsági vezérlőinek ellenőrzése CMA_0541 – Külső információs rendszerek biztonsági vezérlőinek ellenőrzése Manuális, Letiltva 1.1.0

Hordozható tárolóeszközök

Id: FedRAMP High AC-20 (2) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Információmegosztás

Azonosító: FedRAMP High AC-21 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információmegosztási döntések automatizálása CMA_0028 – Információmegosztási döntések automatizálása Manuális, Letiltva 1.1.0
Információmegosztás megkönnyítése CMA_0284 – Az információmegosztás megkönnyítése Manuális, Letiltva 1.1.0

Nyilvánosan elérhető tartalom

Azonosító: FedRAMP High AC-22 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése CMA_C1083 – A nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése Manuális, Letiltva 1.1.0
Tartalom áttekintése nyilvánosan elérhető információk közzététele előtt CMA_C1085 – Tartalom áttekintése a nyilvánosan elérhető információk közzététele előtt Manuális, Letiltva 1.1.0
Nyilvánosan elérhető tartalom áttekintése nem nyilvános információkért CMA_C1086 – Nyilvánosan elérhető tartalmak áttekintése nem nyilvános információkért Manuális, Letiltva 1.1.0
Betanítsa a személyzetet a nem nyilvános információk közzétételére CMA_C1084 – Személyzet betanítása a nem nyilvános információk közzétételére Manuális, Letiltva 1.1.0

Tudatosság és képzés

Biztonságtudatossági és képzési szabályzat és a szükséges lépések

Id: FedRAMP High AT-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági és adatvédelmi képzési tevékenységek dokumentálása CMA_0198 – Dokumentumbiztonsági és adatvédelmi betanítási tevékenységek Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok frissítése CMA_0518 – Információbiztonsági szabályzatok frissítése Manuális, Letiltva 1.1.0

Biztonságtudatossági képzés

Id: FedRAMP High AT-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszeres biztonsági tudatossági képzés biztosítása CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása Manuális, Letiltva 1.1.0
Biztonsági képzés biztosítása új felhasználók számára CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára Manuális, Letiltva 1.1.0
Frissített biztonsági tudatossági képzés biztosítása CMA_C1090 – Frissített biztonsági tudatossági képzés biztosítása Manuális, Letiltva 1.1.0

Insider Threat

Azonosító: FedRAMP High AT-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonságtudatossági képzés az insider fenyegetésekhez CMA_0417 – A belső fenyegetésekre vonatkozó biztonsági tudatossági képzés biztosítása Manuális, Letiltva 1.1.0

Szerepköralapú biztonsági képzés

Id: FedRAMP High AT-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszeres szerepköralapú biztonsági képzés biztosítása CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása Manuális, Letiltva 1.1.0
Szerepköralapú biztonsági képzés biztosítása CMA_C1094 – Szerepköralapú biztonsági képzés biztosítása Manuális, Letiltva 1.1.0
Biztonsági képzés biztosítása a hozzáférés biztosítása előtt CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt Manuális, Letiltva 1.1.0

Gyakorlati gyakorlatok

Azonosító: FedRAMP High AT-3 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szerepköralapú gyakorlati gyakorlatok biztosítása CMA_C1096 – Szerepköralapú gyakorlati gyakorlatok biztosítása Manuális, Letiltva 1.1.0

Gyanús kommunikáció és rendellenes rendszerviselkedés

Azonosító: FedRAMP High AT-3 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szerepköralapú képzés biztosítása gyanús tevékenységekről CMA_C1097 – Szerepköralapú képzés biztosítása gyanús tevékenységekről Manuális, Letiltva 1.1.0

Biztonsági betanítási rekordok

Id: FedRAMP High AT-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági és adatvédelmi képzési tevékenységek dokumentálása CMA_0198 – Dokumentumbiztonsági és adatvédelmi betanítási tevékenységek Manuális, Letiltva 1.1.0
Biztonsági és adatvédelmi képzés befejezésének monitorozása CMA_0379 – A biztonsági és adatvédelmi képzés befejezésének monitorozása Manuális, Letiltva 1.1.0
Betanítási rekordok megőrzése CMA_0456 – Betanítási rekordok megőrzése Manuális, Letiltva 1.1.0

Naplózás és elszámoltathatóság

Naplózási és elszámoltathatósági szabályzat és eljárások

Id: FedRAMP High AU-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási és elszámoltathatósági szabályzatok és eljárások kidolgozása CMA_0154 – Naplózási és elszámoltathatósági szabályzatok és eljárások kidolgozása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok és eljárások fejlesztése CMA_0158 – Információbiztonsági szabályzatok és eljárások fejlesztése Manuális, Letiltva 1.1.0
Szabályzatok és eljárások szabályozása CMA_0292 – Szabályzatok és eljárások szabályozása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok frissítése CMA_0518 – Információbiztonsági szabályzatok frissítése Manuális, Letiltva 1.1.0

Naplózási események

Id: FedRAMP High AU-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0

Vélemények és frissítések

Azonosító: FedRAMP High AU-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az AU-02-ben definiált események áttekintése és frissítése CMA_C1106 – Az AU-02-ben definiált események áttekintése és frissítése Manuális, Letiltva 1.1.0

A naplózási rekordok tartalma

Id: FedRAMP High AU-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0

További naplózási információk

Azonosító: FedRAMP High AU-3 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure Audit képességeinek konfigurálása CMA_C1108 – Az Azure Audit képességeinek konfigurálása Manuális, Letiltva 1.1.1

Tárkapacitás naplózása

Id: FedRAMP High AU-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási feldolgozási tevékenységek szabályozása és monitorozása CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása Manuális, Letiltva 1.1.0

Válasz a naplózás feldolgozási hibáira

Id: FedRAMP High AU-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási feldolgozási tevékenységek szabályozása és monitorozása CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása Manuális, Letiltva 1.1.0

Valós idejű riasztások

Azonosító: FedRAMP High AU-5 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Valós idejű riasztások biztosítása naplózási eseményhibák esetén CMA_C1114 – Valós idejű riasztások biztosítása naplózási eseményhibák esetén Manuális, Letiltva 1.1.0

Naplózási felülvizsgálat, elemzés és jelentéskészítés

Id: FedRAMP High AU-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0
Auditvizsgálat, elemzés és jelentéskészítés integrálása CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Fiókkiépítési naplók áttekintése CMA_0460 – Fiókkiépítési naplók áttekintése Manuális, Letiltva 1.1.0
Rendszergazdai hozzárendelések heti áttekintése CMA_0461 – Rendszergazdai feladatok heti áttekintése Manuális, Letiltva 1.1.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0
A felhő identitásjelentésének áttekintése CMA_0468 – A felhőalapú identitásjelentés áttekintése Manuális, Letiltva 1.1.0
Ellenőrzött mappaelérési események áttekintése CMA_0471 – Ellenőrzött mappaelérési események áttekintése Manuális, Letiltva 1.1.0
Fájl- és mappatevékenység áttekintése CMA_0473 – Fájl- és mappatevékenység áttekintése Manuális, Letiltva 1.1.0
Szerepkörcsoportok változásainak heti áttekintése CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése Manuális, Letiltva 1.1.0

Folyamatintegráció

Azonosító: FedRAMP High AU-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0
Auditvizsgálat, elemzés és jelentéskészítés integrálása CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0
Fiókkiépítési naplók áttekintése CMA_0460 – Fiókkiépítési naplók áttekintése Manuális, Letiltva 1.1.0
Rendszergazdai hozzárendelések heti áttekintése CMA_0461 – Rendszergazdai feladatok heti áttekintése Manuális, Letiltva 1.1.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0
A felhő identitásjelentésének áttekintése CMA_0468 – A felhőalapú identitásjelentés áttekintése Manuális, Letiltva 1.1.0
Ellenőrzött mappaelérési események áttekintése CMA_0471 – Ellenőrzött mappaelérési események áttekintése Manuális, Letiltva 1.1.0
Fájl- és mappatevékenység áttekintése CMA_0473 – Fájl- és mappatevékenység áttekintése Manuális, Letiltva 1.1.0
Szerepkörcsoportok változásainak heti áttekintése CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése Manuális, Letiltva 1.1.0

Naplózási adattárak korrelációja

Azonosító: FedRAMP High AU-6 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0

Központi felülvizsgálat és elemzés

Azonosító: FedRAMP High AU-6 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Integrációs/ellenőrzési és monitorozási képességek

Azonosító: FedRAMP High AU-6 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Naplózási rekordelemzés integrálása CMA_C1120 – Naplózási rekordelemzés integrálása Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Engedélyezett műveletek

Azonosító: FedRAMP High AU-6 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az ügyfél auditálási adataihoz társított engedélyezett műveletek megadása CMA_C1122 – Az ügyfél auditálási adataihoz társított engedélyezett műveletek megadása Manuális, Letiltva 1.1.0

Naplózási szint módosítása

Azonosító: FedRAMP High AU-6 (10) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az auditvizsgálati, elemzési és jelentéskészítési szint módosítása CMA_C1123 – Az auditvizsgálat, az elemzés és a jelentéskészítés szintjének módosítása Manuális, Letiltva 1.1.0

Naplózás csökkentése és jelentéskészítés

Id: FedRAMP High AU-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy a naplózási rekordok nincsenek módosítva CMA_C1125 – Győződjön meg arról, hogy a naplózási rekordok nincsenek módosítva Manuális, Letiltva 1.1.0
Naplózási, elemzési és jelentéskészítési képesség biztosítása CMA_C1124 – Naplózási, elemzési és jelentéskészítési képesség biztosítása Manuális, Letiltva 1.1.0

Automatikus feldolgozás

Azonosító: FedRAMP High AU-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Képesség biztosítása az ügyfél által ellenőrzött naplózási rekordok feldolgozására CMA_C1126 – Lehetővé teszi az ügyfél által ellenőrzött naplózási rekordok feldolgozását Manuális, Letiltva 1.1.0

Időbélyegek

Id: FedRAMP High AU-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerórák használata naplózási rekordokhoz CMA_0535 – Rendszerórák használata naplózási rekordokhoz Manuális, Letiltva 1.1.0

Szinkronizálás mérvadó időforrással

Azonosító: FedRAMP High AU-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerórák használata naplózási rekordokhoz CMA_0535 – Rendszerórák használata naplózási rekordokhoz Manuális, Letiltva 1.1.0

Naplózási információk védelme

Id: FedRAMP High AU-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kettős vagy közös engedélyezés engedélyezése CMA_0226 – Kettős vagy közös engedélyezés engedélyezése Manuális, Letiltva 1.1.0
Naplózási információk védelme CMA_0401 – Naplózási információk védelme Manuális, Letiltva 1.1.0

Biztonsági mentés naplózása különálló fizikai rendszereken / összetevőkön

Azonosító: FedRAMP High AU-9 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági mentési szabályzatok és eljárások létrehozása CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása Manuális, Letiltva 1.1.0

Titkosítási védelem

Azonosító: FedRAMP High AU-9 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A naplózási rendszer integritásának fenntartása CMA_C1133 – A naplózási rendszer integritásának fenntartása Manuális, Letiltva 1.1.0

Hozzáférés a kiemelt felhasználók részhalmaza szerint

Azonosító: FedRAMP High AU-9 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási információk védelme CMA_0401 – Naplózási információk védelme Manuális, Letiltva 1.1.0

Letagadhatatlanság

Id: FedRAMP High AU-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Elektronikus aláírási és tanúsítványkövetelmények létrehozása CMA_0271 – Elektronikus aláírásra és tanúsítványra vonatkozó követelmények megállapítása Manuális, Letiltva 1.1.0

Rekordmegőrzés naplózása

Id: FedRAMP High AU-11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A megadott megőrzési időszakok betartása CMA_0004 – A megadott megőrzési időszakok betartása Manuális, Letiltva 1.1.0
Biztonsági szabályzatok és eljárások megőrzése CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése Manuális, Letiltva 1.1.0
Megszakított felhasználói adatok megőrzése CMA_0455 – Megszakított felhasználói adatok megőrzése Manuális, Letiltva 1.1.0
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. AuditIfNotExists, Disabled 3.0.0

Naplózás létrehozása

Azonosító: FedRAMP High AU-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Felhasználói fiók állapotának naplózása CMA_0020 – Felhasználói fiók állapotának naplózása Manuális, Letiltva 1.1.0
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

System-Wide / Time-Korrelated Audit Trail

Azonosító: FedRAMP High AU-12 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózási rekordok fordítása rendszerszintű naplózásra CMA_C1140 – Auditrekordok fordítása rendszerszintű naplózásra Manuális, Letiltva 1.1.0
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

A jogosult személyek által végzett módosítások

Azonosító: FedRAMP High AU-12 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Lehetővé teszi az ügyfél által üzembe helyezett erőforrások naplózásának kiterjesztését vagy korlátozását CMA_C1141 – Lehetővé teszi az ügyfél által üzembe helyezett erőforrások naplózásának kiterjesztését vagy korlátozását Manuális, Letiltva 1.1.0

Biztonsági értékelés és engedélyezés

Biztonsági értékelési és engedélyezési szabályzat és eljárások

Id: FedRAMP High CA-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági értékelési és engedélyezési szabályzatok és eljárások áttekintése CMA_C1143 – Biztonsági értékelési és engedélyezési szabályzatok és eljárások áttekintése Manuális, Letiltva 1.1.0

Biztonsági értékelések

Azonosító: FedRAMP High CA-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági vezérlők értékelése CMA_C1145 – Biztonsági vezérlők értékelése Manuális, Letiltva 1.1.0
Biztonsági értékelés eredményeinek átadása CMA_C1147 – Biztonsági értékelés eredményeinek átadása Manuális, Letiltva 1.1.0
Biztonsági felmérési terv kidolgozása CMA_C1144 – Biztonsági értékelési terv kidolgozása Manuális, Letiltva 1.1.0
Biztonsági felmérési jelentés készítése CMA_C1146 – Biztonsági felmérési jelentés készítése Manuális, Letiltva 1.1.0

Független értékelők

Azonosító: FedRAMP High CA-2 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Független értékelők alkalmazása biztonsági ellenőrzési értékelések elvégzéséhez CMA_C1148 – Független értékelők alkalmazása a biztonsági ellenőrzési értékelések elvégzéséhez Manuális, Letiltva 1.1.0

Specializált értékelések

Azonosító: FedRAMP High CA-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
További tesztelés kiválasztása a biztonsági ellenőrzési értékelésekhez CMA_C1149 – További tesztelés kiválasztása a biztonsági ellenőrzés értékeléséhez Manuális, Letiltva 1.1.0

Külső szervezetek

Azonosító: FedRAMP High CA-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Értékelési eredmények elfogadása CMA_C1150 – Értékelési eredmények elfogadása Manuális, Letiltva 1.1.0

Rendszerösszekötők

Id: FedRAMP High CA-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Összekapcsolási biztonsági megállapodások megkövetelése CMA_C1151 – Összekapcsolási biztonsági megállapodások megkövetelése Manuális, Letiltva 1.1.0
Összekapcsolási biztonsági megállapodások frissítése CMA_0519 – Összekapcsolási biztonsági megállapodások frissítése Manuális, Letiltva 1.1.0

Nem besorolt nem nemzetbiztonsági rendszerkapcsolatok

Azonosító: FedRAMP High CA-3 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0

Külső rendszerkapcsolatokra vonatkozó korlátozások

Azonosító: FedRAMP High CA-3 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Korlátozások alkalmazása a külső rendszerösszekötőkre CMA_C1155 – Korlátozások alkalmazása a külső rendszerösszekötőkre Manuális, Letiltva 1.1.0

Cselekvési terv és mérföldkövek

Id: FedRAMP High CA-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
POA&M fejlesztése CMA_C1156 – POA&M fejlesztése Manuális, Letiltva 1.1.0
POA&M-elemek frissítése CMA_C1157 – POA&M-elemek frissítése Manuális, Letiltva 1.1.0

Biztonsági engedélyezés

Id: FedRAMP High CA-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezésre feljogosító tisztviselő hozzárendelése (AO) CMA_C1158 – Engedélyezésre feljogosító tisztviselő (AO) hozzárendelése Manuális, Letiltva 1.1.0
Győződjön meg arról, hogy az erőforrások engedélyezve vannak CMA_C1159 – Győződjön meg arról, hogy az erőforrások engedélyezve vannak Manuális, Letiltva 1.1.0
A biztonsági engedélyezés frissítése CMA_C1160 – A biztonsági engedélyezés frissítése Manuális, Letiltva 1.1.0

Folyamatos monitorozás

Azonosító: FedRAMP High CA-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Észlelési engedélyezési lista konfigurálása CMA_0068 – Észlelési engedélyezési lista konfigurálása Manuális, Letiltva 1.1.0
Érzékelők bekapcsolása végpontbiztonsági megoldáshoz CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz Manuális, Letiltva 1.1.0
Független biztonsági felülvizsgálaton megy keresztül CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül Manuális, Letiltva 1.1.0

Független értékelés

Azonosító: FedRAMP High CA-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Független értékelők alkalmazása folyamatos monitorozáshoz CMA_C1168 – Független értékelők alkalmazása folyamatos monitorozáshoz Manuális, Letiltva 1.1.0

Trendelemzések

Azonosító: FedRAMP High CA-7 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Folyamatos monitorozásból nyert adatok elemzése CMA_C1169 – Folyamatos monitorozásból nyert adatok elemzése Manuális, Letiltva 1.1.0

Független behatolási ügynök vagy csapat

Azonosító: FedRAMP High CA-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Független csapat alkalmazása behatolásteszteléshez CMA_C1171 – Független csapat alkalmazása behatolásteszteléshez Manuális, Letiltva 1.1.0

Belső rendszerkapcsolatok

Id: FedRAMP High CA-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Belső kapcsolatok létrehozása előtt ellenőrizze az adatvédelmi és biztonsági megfelelőséget CMA_0053 – Belső kapcsolatok létrehozása előtt ellenőrizze az adatvédelmi és biztonsági megfelelőséget Manuális, Letiltva 1.1.0

Konfigurációkezelés

Konfigurációkezelési szabályzat és eljárások

Id: FedRAMP High CM-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Konfigurációkezelési szabályzatok és eljárások áttekintése és frissítése CMA_C1175 – Konfigurációkezelési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Alapkonfiguráció

Id: FedRAMP High CM-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem megfelelő eszközök műveleteinek konfigurálása CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz Manuális, Letiltva 1.1.0
Alapkonfigurációk fejlesztése és karbantartása CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása Manuális, Letiltva 1.1.0
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
Konfigurációs vezérlőtábla létrehozása CMA_0254 – Konfigurációs vezérlőtábla létrehozása Manuális, Letiltva 1.1.0
Konfigurációkezelési terv létrehozása és dokumentálása CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Automatizált konfigurációkezelő eszköz implementálása CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása Manuális, Letiltva 1.1.0

Automatizálási támogatás pontossághoz / pénznemhez

Azonosító: FedRAMP High CM-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem megfelelő eszközök műveleteinek konfigurálása CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz Manuális, Letiltva 1.1.0
Alapkonfigurációk fejlesztése és karbantartása CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása Manuális, Letiltva 1.1.0
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
Konfigurációs vezérlőtábla létrehozása CMA_0254 – Konfigurációs vezérlőtábla létrehozása Manuális, Letiltva 1.1.0
Konfigurációkezelési terv létrehozása és dokumentálása CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Automatizált konfigurációkezelő eszköz implementálása CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása Manuális, Letiltva 1.1.0

Korábbi konfigurációk megőrzése

Azonosító: FedRAMP High CM-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az alapkonfigurációk korábbi verzióinak megőrzése CMA_C1181 – Az alapkonfigurációk korábbi verzióinak megőrzése Manuális, Letiltva 1.1.0

Rendszerek, összetevők vagy eszközök konfigurálása magas kockázatú területekhez

Azonosító: FedRAMP High CM-2 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Gondoskodjon arról, hogy az egyének visszatérésekor ne legyen szükség biztonsági garanciákra CMA_C1183 – Gondoskodjon arról, hogy az egyének visszatérésekor ne legyen szükség biztonsági garanciákra Manuális, Letiltva 1.1.0
Az információs rendszerek nem kísérhetik az egyéneket CMA_C1182 – Az információs rendszerek nem kísérhetik az egyéneket Manuális, Letiltva 1.1.0

Konfigurációmódosítás-vezérlés

Id: FedRAMP High CM-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági hatáselemzés végrehajtása CMA_0057 – Biztonsági hatáselemzés végrehajtása Manuális, Letiltva 1.1.0
Biztonságirés-kezelés szabvány fejlesztése és karbantartása CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása Manuális, Letiltva 1.1.0
Kockázatkezelési stratégia létrehozása CMA_0258 – Kockázatkezelési stratégia létrehozása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Adatvédelmi hatásvizsgálat elvégzése CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

Automatizált dokumentum / Értesítés / Módosítások tiltása

Azonosító: FedRAMP High CM-3 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A javasolt módosítások jóváhagyási kérésének automatizálása CMA_C1192 – A javasolt módosítások jóváhagyási kérésének automatizálása Manuális, Letiltva 1.1.0
Jóváhagyott változásértesítések végrehajtásának automatizálása CMA_C1196 – A jóváhagyott változásértesítések végrehajtásának automatizálása Manuális, Letiltva 1.1.0
Folyamat automatizálása a végrehajtott módosítások dokumentálásához CMA_C1195 – Folyamat automatizálása a végrehajtott módosítások dokumentálásához Manuális, Letiltva 1.1.0
A nem megtekintett módosítási javaslatok kiemelésének automatizálása CMA_C1193 – A nem megtekintett módosítási javaslatok kiemelésére irányuló folyamat automatizálása Manuális, Letiltva 1.1.0
A nem jóváhagyott módosítások implementálásának tiltását célzó folyamat automatizálása CMA_C1194 – Automatizálja a nem jóváhagyott módosítások végrehajtását tiltó folyamatot Manuális, Letiltva 1.1.0
Javasolt dokumentált módosítások automatizálása CMA_C1191 – Javasolt dokumentált módosítások automatizálása Manuális, Letiltva 1.1.0

Tesztelés/Ellenőrzés/Dokumentummódosítások

Azonosító: FedRAMP High CM-3 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

Biztonsági képviselő

Azonosító: FedRAMP High CM-3 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információbiztonsági képviselő hozzárendelése a változásvezérléshez CMA_C1198 – Információbiztonsági képviselő hozzárendelése a változásvezérléshez Manuális, Letiltva 1.1.0

Titkosítás kezelése

Id: FedRAMP High CM-3 (6) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy a titkosítási mechanizmusok konfigurációkezelés alatt állnak CMA_C1199 – Győződjön meg arról, hogy a titkosítási mechanizmusok konfigurációkezelés alatt állnak Manuális, Letiltva 1.1.0

Biztonsági hatáselemzés

Id: FedRAMP High CM-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági hatáselemzés végrehajtása CMA_0057 – Biztonsági hatáselemzés végrehajtása Manuális, Letiltva 1.1.0
Biztonságirés-kezelés szabvány fejlesztése és karbantartása CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása Manuális, Letiltva 1.1.0
Kockázatkezelési stratégia létrehozása CMA_0258 – Kockázatkezelési stratégia létrehozása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Adatvédelmi hatásvizsgálat elvégzése CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

Tesztkörnyezetek elkülönítése

Azonosító: FedRAMP High CM-4 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági hatáselemzés végrehajtása CMA_0057 – Biztonsági hatáselemzés végrehajtása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Adatvédelmi hatásvizsgálat elvégzése CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

Hozzáférési korlátozások a módosításhoz

Id: FedRAMP High CM-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0

Automatikus hozzáférés-kényszerítés / naplózás

Azonosító: FedRAMP High CM-5 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hozzáférési korlátozások kényszerítése és naplózása CMA_C1203 – Hozzáférési korlátozások kényszerítése és naplózása Manuális, Letiltva 1.1.0

Rendszerváltozások áttekintése

Id: FedRAMP High CM-5 (2) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A jogosulatlan módosítások módosításainak áttekintése CMA_C1204 – A jogosulatlan módosítások módosításainak áttekintése Manuális, Letiltva 1.1.0

Aláírt összetevők

Azonosító: FedRAMP High CM-5 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása CMA_C1205 – Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása Manuális, Letiltva 1.1.0

Termelési/üzemeltetési jogosultságok korlátozása

Azonosító: FedRAMP High CM-5 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Jogosultságok korlátozása az éles környezetben végzett módosításokhoz CMA_C1206 – A jogosultságok korlátozása az éles környezetben végzett módosításokhoz Manuális, Letiltva 1.1.0
Jogosultságok áttekintése és újraértékelése CMA_C1207 – Jogosultságok áttekintése és újraértékelése Manuális, Letiltva 1.1.0

Konfigurációs beállítások

Id: FedRAMP High CM-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. AuditIfNotExists, Disabled 2.0.0
A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. Naplózás, letiltva 1.0.2
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. AuditIfNotExists, Disabled 2.0.0
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.3.0
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.2.0
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.2.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.0.0

Automatizált központi felügyelet / alkalmazás / ellenőrzés

Azonosító: FedRAMP High CM-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
Felhőszolgáltatók megfelelőségének szabályozása CMA_0290 – A felhőszolgáltatók megfelelőségének szabályozása Manuális, Letiltva 1.1.0
Rendszerdiagnosztikai adatok megtekintése és konfigurálása CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása Manuális, Letiltva 1.1.0

Minimális funkcionalitás

Id: FedRAMP High CM-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3

Információs rendszer összetevőleltára

Id: FedRAMP High CM-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Adatleltár létrehozása CMA_0096 – Adatleltár létrehozása Manuális, Letiltva 1.1.0
A személyes adatok feldolgozásának nyilvántartása CMA_0353 – A személyes adatok feldolgozásának nyilvántartása Manuális, Letiltva 1.1.0

Frissítések telepítések/ eltávolítások során

Azonosító: FedRAMP High CM-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Adatleltár létrehozása CMA_0096 – Adatleltár létrehozása Manuális, Letiltva 1.1.0
A személyes adatok feldolgozásának nyilvántartása CMA_0353 – A személyes adatok feldolgozásának nyilvántartása Manuális, Letiltva 1.1.0

Automatizált, nem engedélyezett összetevők észlelése

Azonosító: FedRAMP High CM-8 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hálózati eszközök észlelésének engedélyezése CMA_0220 – Hálózati eszközök észlelésének engedélyezése Manuális, Letiltva 1.1.0
Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben Manuális, Letiltva 1.1.0

Elszámoltathatósági információk

Azonosító: FedRAMP High CM-8 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Adatleltár létrehozása CMA_0096 – Adatleltár létrehozása Manuális, Letiltva 1.1.0
Eszközleltár létrehozása és karbantartása CMA_0266 – Eszközleltár létrehozása és karbantartása Manuális, Letiltva 1.1.0

Konfigurációkezelési terv

Id: FedRAMP High CM-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Konfigurációs terv védelmének létrehozása CMA_C1233 – Konfigurációs terv védelmének létrehozása Manuális, Letiltva 1.1.0
Alapkonfigurációk fejlesztése és karbantartása CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása Manuális, Letiltva 1.1.0
Konfigurációelem-azonosítási terv fejlesztése CMA_C1231 – Konfigurációelem-azonosítási terv fejlesztése Manuális, Letiltva 1.1.0
Konfigurációkezelési terv fejlesztése CMA_C1232 – Konfigurációkezelési terv fejlesztése Manuális, Letiltva 1.1.0
Konfigurációkezelési terv létrehozása és dokumentálása CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Automatizált konfigurációkezelő eszköz implementálása CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása Manuális, Letiltva 1.1.0

Szoftverhasználati korlátozások

Id: FedRAMP High CM-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A szellemi tulajdonjogok betartásának megkövetelése CMA_0432 – A szellemi tulajdonjogoknak való megfelelés megkövetelése Manuális, Letiltva 1.1.0
Szoftverlicencek használatának nyomon követése CMA_C1235 – Szoftverlicencek használatának nyomon követése Manuális, Letiltva 1.1.0

Nyílt forráskódú szoftverek

Azonosító: FedRAMP High CM-10 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nyílt forráskód szoftverek használatának korlátozása CMA_C1237 – A nyílt forráskód szoftver használatának korlátozása Manuális, Letiltva 1.1.0

Vészhelyzeti tervezés

Készenléti tervezési szabályzat és eljárások

Id: FedRAMP High CP-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A készenléti tervezési szabályzatok és eljárások áttekintése és frissítése CMA_C1243 – A készenléti tervezési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Készenléti terv

Id: FedRAMP High CP-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A vészhelyzeti terv változásainak közlése CMA_C1249 – A vészhelyzeti terv változásainak közlése Manuális, Letiltva 1.1.0
Készenléti tervek koordinálása kapcsolódó tervekkel CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel Manuális, Letiltva 1.1.0
Üzletmenet-folytonossági és vészhelyreállítási terv kidolgozása és dokumentálása CMA_0146 – Üzletmenet-folytonossági és vészhelyreállítási terv kidolgozása és dokumentálása Manuális, Letiltva 1.1.0
Vészhelyzeti terv kidolgozása CMA_C1244 – Készenléti terv kidolgozása Manuális, Letiltva 1.1.0
Készenléti tervezési szabályzatok és eljárások kidolgozása CMA_0156 – Készenléti tervezési szabályzatok és eljárások kidolgozása Manuális, Letiltva 1.1.0
Szabályzatok és eljárások terjesztése CMA_0185 – Szabályzatok és eljárások terjesztése Manuális, Letiltva 1.1.0
Vészhelyzeti terv áttekintése CMA_C1247 – Vészhelyzeti terv áttekintése Manuális, Letiltva 1.1.0
Vészhelyzeti terv frissítése CMA_C1248 – Készenléti terv frissítése Manuális, Letiltva 1.1.0

Azonosító: FedRAMP High CP-2 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Készenléti tervek koordinálása kapcsolódó tervekkel CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel Manuális, Letiltva 1.1.0

Kapacitástervezés

Azonosító: FedRAMP High CP-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kapacitástervezés végrehajtása CMA_C1252 – Kapacitástervezés végrehajtása Manuális, Letiltva 1.1.0

Alapvető küldetések folytatása / Üzleti függvények

Azonosító: FedRAMP High CP-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az alapvető üzleti funkciók újraindításának megtervezése CMA_C1253 – Az alapvető üzleti funkciók újraindításának megtervezése Manuális, Letiltva 1.1.0

Az összes küldetés folytatása / Üzleti függvények

Azonosító: FedRAMP High CP-2 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az összes küldetés és üzleti funkció folytatása CMA_C1254 – Az összes küldetés és üzleti funkció folytatása Manuális, Letiltva 1.1.0

Alapvető küldetések / Üzleti funkciók folytatása

Azonosító: FedRAMP High CP-2 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az alapvető üzleti funkciók folyamatosságának megtervezése CMA_C1255 – Az alapvető üzleti funkciók folyamatosságának megtervezése Manuális, Letiltva 1.1.0

Kritikus fontosságú objektumok azonosítása

Azonosító: FedRAMP High CP-2 (8) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Üzleti hatásvizsgálat és alkalmazáskritikussági felmérés végrehajtása CMA_0386 – Üzleti hatásvizsgálat és alkalmazáskritikussági felmérés végrehajtása Manuális, Letiltva 1.1.0

Készenléti képzés

Id: FedRAMP High CP-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vészhelyzeti betanítás biztosítása CMA_0412 – Készenléti képzés biztosítása Manuális, Letiltva 1.1.0

Szimulált események

Azonosító: FedRAMP High CP-3 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szimulált készenléti betanítás beépítése CMA_C1260 – Szimulált készenléti betanítás beépítése Manuális, Letiltva 1.1.0

Vészhelyzeti terv tesztelése

Id: FedRAMP High CP-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése CMA_C1263 – Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése Manuális, Letiltva 1.1.0
A vészhelyzeti terv tesztelésének eredményeinek áttekintése CMA_C1262 – A készenléti terv tesztelésének eredményeinek áttekintése Manuális, Letiltva 1.1.0
Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése CMA_0509 – Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése Manuális, Letiltva 1.1.0

Azonosító: FedRAMP High CP-4 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Készenléti tervek koordinálása kapcsolódó tervekkel CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel Manuális, Letiltva 1.1.0

Alternatív feldolgozási hely

Azonosító: FedRAMP High CP-4 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív feldolgozási hely képességeinek kiértékelése CMA_C1266 – Alternatív feldolgozási hely képességeinek kiértékelése Manuális, Letiltva 1.1.0
Vészhelyzeti terv tesztelése alternatív feldolgozási helyen CMA_C1265 – Vészhelyzeti terv tesztelése alternatív feldolgozási helyen Manuális, Letiltva 1.1.0

Másodlagos tárolóhely

Id: FedRAMP High CP-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy a másodlagos tárolóhelyek védelme megegyezik az elsődleges helyekkel CMA_C1268 – Győződjön meg arról, hogy a másodlagos tárolóhelyek védelme megegyezik az elsődleges helyekkel Manuális, Letiltva 1.1.0
Másodlagos tárolóhely létrehozása a biztonsági mentési adatok tárolásához és lekéréséhez CMA_C1267 – Másodlagos tárolóhely létrehozása a biztonsági mentési adatok tárolásához és lekéréséhez Manuális, Letiltva 1.1.0
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
A georedundáns tárolást engedélyezni kell a tárfiókokhoz Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával Naplózás, letiltva 1.0.0
Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. AuditIfNotExists, Disabled 2.0.0

Elkülönítés az elsődleges helytől

Azonosító: FedRAMP High CP-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Különálló másodlagos és elsődleges tárolóhelyek létrehozása CMA_C1269 – Különálló másodlagos és elsődleges tárolóhelyek létrehozása Manuális, Letiltva 1.1.0
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
A georedundáns tárolást engedélyezni kell a tárfiókokhoz Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával Naplózás, letiltva 1.0.0
Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. AuditIfNotExists, Disabled 2.0.0

Helyreállítási idő / pont célkitűzései

Azonosító: FedRAMP High CP-6 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív tárolóhely létrehozása, amely megkönnyíti a helyreállítási műveleteket CMA_C1270 – Alternatív tárolóhely létrehozása, amely megkönnyíti a helyreállítási műveleteket Manuális, Letiltva 1.1.0

Akadálymentesség

Azonosító: FedRAMP High CP-6 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív tárolóhely lehetséges problémáinak azonosítása és elhárítása CMA_C1271 – A lehetséges problémák azonosítása és elhárítása alternatív tárolóhelyen Manuális, Letiltva 1.1.0

Alternatív feldolgozási hely

Azonosító: FedRAMP High CP-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. auditIfNotExists 1.0.0
Alternatív feldolgozási hely létrehozása CMA_0262 – Alternatív feldolgozási hely létrehozása Manuális, Letiltva 1.1.0

Elkülönítés az elsődleges helytől

Azonosító: FedRAMP High CP-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív feldolgozási hely létrehozása CMA_0262 – Alternatív feldolgozási hely létrehozása Manuális, Letiltva 1.1.0

Akadálymentesség

Azonosító: FedRAMP High CP-7 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív feldolgozási hely létrehozása CMA_0262 – Alternatív feldolgozási hely létrehozása Manuális, Letiltva 1.1.0

Szolgáltatás prioritása

Azonosító: FedRAMP High CP-7 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív feldolgozási hely létrehozása CMA_0262 – Alternatív feldolgozási hely létrehozása Manuális, Letiltva 1.1.0
Az internetszolgáltatókra vonatkozó követelmények meghatározása CMA_0278 – Az internetszolgáltatókra vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0

Használatra való előkészítés

Azonosító: FedRAMP High CP-7 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív feldolgozási hely előkészítése operatív helyként való használatra CMA_C1278 – Alternatív feldolgozási hely előkészítése operatív helyként való használatra Manuális, Letiltva 1.1.0

A szolgáltatásra vonatkozó rendelkezések prioritása

Azonosító: FedRAMP High CP-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az internetszolgáltatókra vonatkozó követelmények meghatározása CMA_0278 – Az internetszolgáltatókra vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0

Információs rendszer biztonsági mentése

Id: FedRAMP High CP-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure Backupot engedélyezni kell a virtuális gépeken Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Disabled 3.0.0
Az információs rendszer dokumentációjának biztonsági mentése CMA_C1289 – Az információs rendszer dokumentációjának biztonsági mentése Manuális, Letiltva 1.1.0
Biztonsági mentési szabályzatok és eljárások létrehozása CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása Manuális, Letiltva 1.1.0
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
A kulcstartók törlés elleni védelmének engedélyezve kell lennie A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. Naplózás, megtagadás, letiltva 2.1.0
A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. Naplózás, megtagadás, letiltva 3.0.0

Külön tároló a kritikus információkhoz

Azonosító: FedRAMP High CP-9 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonsági mentési adatok külön tárolása CMA_C1293 – A biztonsági mentési adatok külön tárolása Manuális, Letiltva 1.1.0

Átvitel alternatív tárolóhelyre

Azonosító: FedRAMP High CP-9 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági mentési adatok átvitele másik tárolóhelyre CMA_C1294 – Biztonsági mentési adatok átvitele másik tárolóhelyre Manuális, Letiltva 1.1.0

Information System Recovery And Reconstitution

Id: FedRAMP High CP-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Erőforrások helyreállítása és helyreállítása a megszakítások után CMA_C1295 – Erőforrások helyreállítása és helyreállítása a megszakítások után Manuális, Letiltva 1.1.1

Tranzakció helyreállítása

Azonosító: FedRAMP High CP-10 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Tranzakcióalapú helyreállítás implementálása CMA_C1296 – Tranzakcióalapú helyreállítás megvalósítása Manuális, Letiltva 1.1.0

Visszaállítás időszakon belül

Azonosító: FedRAMP High CP-10 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Erőforrások visszaállítása működési állapotba CMA_C1297 – Erőforrások visszaállítása működési állapotba Manuális, Letiltva 1.1.1

Azonosítás és hitelesítés

Azonosítási és hitelesítési szabályzat és eljárások

Azonosító: FedRAMP High IA-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azonosítási és hitelesítési szabályzatok és eljárások áttekintése és frissítése CMA_C1299 – Azonosítási és hitelesítési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Azonosítás és hitelesítés (szervezeti felhasználók)

Azonosító: FedRAMP High IA-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Felhasználói egyediség kényszerítése CMA_0250 – Felhasználói egyediség kényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása Manuális, Letiltva 1.1.0

Hálózati hozzáférés emelt szintű fiókokhoz

Azonosító: FedRAMP High IA-2 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Biometrikus hitelesítési mechanizmusok bevezetése CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése Manuális, Letiltva 1.1.0

Hálózati hozzáférés nem emelt szintű fiókokhoz

Azonosító: FedRAMP High IA-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Biometrikus hitelesítési mechanizmusok bevezetése CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése Manuális, Letiltva 1.1.0

Helyi hozzáférés a kiemelt fiókokhoz

Azonosító: FedRAMP High IA-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biometrikus hitelesítési mechanizmusok bevezetése CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése Manuális, Letiltva 1.1.0

Csoporthitelesítés

Azonosító: FedRAMP High IA-2 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Egyéni hitelesítők használatának megkövetelése CMA_C1305 – Egyéni hitelesítők használatának megkövetelése Manuális, Letiltva 1.1.0

Távelérés – Különálló eszköz

Id: FedRAMP High IA-2 (11) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biometrikus hitelesítési mechanizmusok bevezetése CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése Manuális, Letiltva 1.1.0
Hálózati eszközök azonosítása és hitelesítése CMA_0296 – Hálózati eszközök azonosítása és hitelesítése Manuális, Letiltva 1.1.0

Piv-hitelesítő adatok elfogadása

Id: FedRAMP High IA-2 (12) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása Manuális, Letiltva 1.1.0

Azonosítókezelés

Azonosító: FedRAMP High IA-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Rendszerazonosítók hozzárendelése CMA_0018 – Rendszerazonosítók hozzárendelése Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban CMA_C1314 – Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0

Felhasználói állapot azonosítása

Azonosító: FedRAMP High IA-4 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az egyes felhasználók állapotának azonosítása CMA_C1316 – Az egyes felhasználók állapotának azonosítása Manuális, Letiltva 1.1.0

Hitelesítő kezelése

Id: FedRAMP High IA-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva AuditIfNotExists, Disabled 3.1.0
A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Disabled 2.0.0
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 2.2.1
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
Hitelesítő típusok és folyamatok létrehozása CMA_0267 – Hitelesítő típusok és folyamatok létrehozása Manuális, Letiltva 1.1.0
A kezdeti hitelesítők terjesztésére vonatkozó eljárások létrehozása CMA_0276 – Eljárások létrehozása a kezdeti hitelesítők terjesztéséhez Manuális, Letiltva 1.1.0
A hitelesítők védelmére vonatkozó képzés megvalósítása CMA_0329 – A hitelesítők védelmére vonatkozó képzés megvalósítása Manuális, Letiltva 1.1.0
A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. Naplózás, megtagadás, letiltva 1.0.2
A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. Naplózás, megtagadás, letiltva 1.0.2
A hitelesítő élettartamának és újrafelhasználásának kezelése CMA_0355 – A hitelesítő élettartamának és újrafelhasználásának kezelése Manuális, Letiltva 1.1.0
Hitelesítők kezelése CMA_C1321 – Hitelesítők kezelése Manuális, Letiltva 1.1.0
Hitelesítők frissítése CMA_0425 – Hitelesítők frissítése Manuális, Letiltva 1.1.0
Hitelesítők újbóli kiadása megváltozott csoportokhoz és fiókokhoz CMA_0426 – A módosított csoportok és fiókok hitelesítőinek újbóli kiadása Manuális, Letiltva 1.1.0
Identitás ellenőrzése a hitelesítők terjesztése előtt CMA_0538 – Identitás ellenőrzése a hitelesítők terjesztése előtt Manuális, Letiltva 1.1.0

Jelszóalapú hitelesítés

Azonosító: FedRAMP High IA-5 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva AuditIfNotExists, Disabled 3.1.0
Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 AuditIfNotExists, Disabled 2.1.0
A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap AuditIfNotExists, Disabled 2.1.0
A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap AuditIfNotExists, Disabled 2.1.0
Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása AuditIfNotExists, Disabled 2.0.0
Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter AuditIfNotExists, Disabled 2.1.0
A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Disabled 2.0.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása Manuális, Letiltva 1.1.0
Jelszóházirend létrehozása CMA_0256 – Jelszóházirend létrehozása Manuális, Letiltva 1.1.0
Paraméterek implementálása a memorizált titkos kód ellenőrzőihez CMA_0321 – Paraméterek implementálása a memorizált titkos kód ellenőrzőihez Manuális, Letiltva 1.1.0
Jelszavak védelme titkosítással CMA_0408 – Jelszavak védelme titkosítással Manuális, Letiltva 1.1.0

Pki-alapú hitelesítés

Azonosító: FedRAMP High IA-5 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hitelesítők és identitások dinamikus kötése CMA_0035 – Hitelesítők és identitások dinamikus kötése Manuális, Letiltva 1.1.0
Hitelesítő típusok és folyamatok létrehozása CMA_0267 – Hitelesítő típusok és folyamatok létrehozása Manuális, Letiltva 1.1.0
Paraméterek létrehozása titkos hitelesítők és hitelesítők kereséséhez CMA_0274 – Paraméterek létrehozása titkos hitelesítők és hitelesítők kereséséhez Manuális, Letiltva 1.1.0
A kezdeti hitelesítők terjesztésére vonatkozó eljárások létrehozása CMA_0276 – Eljárások létrehozása a kezdeti hitelesítők terjesztéséhez Manuális, Letiltva 1.1.0
Hitelesített identitások leképezése egyénekre CMA_0372 – Hitelesített identitások leképezése egyénekre Manuális, Letiltva 1.1.0
A titkos kulcsokhoz való hozzáférés korlátozása CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
Identitás ellenőrzése a hitelesítők terjesztése előtt CMA_0538 – Identitás ellenőrzése a hitelesítők terjesztése előtt Manuális, Letiltva 1.1.0

Személyes vagy megbízható harmadik fél regisztrációja

Azonosító: FedRAMP High IA-5 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hitelesítők terjesztése CMA_0184 – Hitelesítők terjesztése Manuális, Letiltva 1.1.0

Automatikus támogatás a jelszóerősség meghatározásához

Azonosító: FedRAMP High IA-5 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása Manuális, Letiltva 1.1.0
Jelszóházirend létrehozása CMA_0256 – Jelszóházirend létrehozása Manuális, Letiltva 1.1.0
Paraméterek implementálása a memorizált titkos kód ellenőrzőihez CMA_0321 – Paraméterek implementálása a memorizált titkos kód ellenőrzőihez Manuális, Letiltva 1.1.0

Hitelesítők védelme

Azonosító: FedRAMP High IA-5 (6) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket CMA_C1339 – Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket Manuális, Letiltva 1.1.0

Nincsenek beágyazott titkosítatlan statikus hitelesítők

Azonosító: FedRAMP High IA-5 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy nincsenek titkosítatlan statikus hitelesítők CMA_C1340 – Győződjön meg arról, hogy nincsenek titkosítatlan statikus hitelesítők Manuális, Letiltva 1.1.0

Hardveres jogkivonat-alapú hitelesítés

Id: FedRAMP High IA-5 (11) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A jogkivonatok minőségi követelményeinek kielégítése CMA_0487 – A jogkivonatok minőségi követelményeinek kielégítése Manuális, Letiltva 1.1.0

Gyorsítótárazott hitelesítők lejárata

Id: FedRAMP High IA-5 (13) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Gyorsítótárazott hitelesítők lejáratának kényszerítése CMA_C1343 – Gyorsítótárazott hitelesítők lejáratának kényszerítése Manuális, Letiltva 1.1.0

Hitelesítő visszajelzése

Azonosító: FedRAMP High IA-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Homályos visszajelzési információk a hitelesítési folyamat során CMA_C1344 – Homályos visszajelzési információk a hitelesítési folyamat során Manuális, Letiltva 1.1.0

Titkosítási modul hitelesítése

Azonosító: FedRAMP High IA-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hitelesítés titkosítási modulba CMA_0021 – Hitelesítés titkosítási modulba Manuális, Letiltva 1.1.0

Azonosítás és hitelesítés (nem szervezeti felhasználók)

Id: FedRAMP High IA-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem szervezeti felhasználók azonosítása és hitelesítése CMA_C1346 – Nem szervezeti felhasználók azonosítása és hitelesítése Manuális, Letiltva 1.1.0

A Piv hitelesítő adatainak elfogadása más ügynökségektől

Azonosító: FedRAMP High IA-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
PIV-hitelesítő adatok elfogadása CMA_C1347 – PIV-hitelesítő adatok elfogadása Manuális, Letiltva 1.1.0

Külső hitelesítő adatok elfogadása

Azonosító: FedRAMP High IA-8 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Csak FICAM által jóváhagyott külső hitelesítő adatok elfogadása CMA_C1348 – Csak FICAM által jóváhagyott, harmadik féltől származó hitelesítő adatok elfogadása Manuális, Letiltva 1.1.0

Ficam által jóváhagyott termékek használata

Azonosító: FedRAMP High IA-8 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
FICAM által jóváhagyott erőforrások alkalmazása harmadik féltől származó hitelesítő adatok elfogadásához CMA_C1349 – FICAM által jóváhagyott erőforrások alkalmazása külső féltől származó hitelesítő adatok elfogadásához Manuális, Letiltva 1.1.0

Ficam által kiadott profilok használata

Azonosító: FedRAMP High IA-8 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A FICAM által kiadott profiloknak való megfelelés CMA_C1350 – A FICAM által kiadott profiloknak való megfelelés Manuális, Letiltva 1.1.0

Incidensmegoldás

Incidenskezelési szabályzat és eljárások

Id: FedRAMP High IR-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelési szabályzatok és eljárások áttekintése és frissítése CMA_C1352 – Incidenskezelési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Incidenskezelés – oktatás

Id: FedRAMP High IR-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információk kiömlése betanításának biztosítása CMA_0413 – Információátömlési képzés biztosítása Manuális, Letiltva 1.1.0

Szimulált események

Azonosító: FedRAMP High IR-2 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szimulált események beépítése az incidenskezelés betanításába CMA_C1356 – Szimulált események beépítése incidensmegoldási képzésbe Manuális, Letiltva 1.1.0

Automatizált betanítási környezetek

Azonosító: FedRAMP High IR-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Automatizált betanítási környezet alkalmazása CMA_C1357 – Automatizált betanítási környezet alkalmazása Manuális, Letiltva 1.1.0

Incidensválasz tesztelése

Id: FedRAMP High IR-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelés tesztelése CMA_0060 – Incidenskezelés tesztelése Manuális, Letiltva 1.1.0
Információbiztonsági program létrehozása CMA_0263 – Információbiztonsági program létrehozása Manuális, Letiltva 1.1.0
Szimulációs támadások futtatása CMA_0486 – Szimulációs támadások futtatása Manuális, Letiltva 1.1.0

Azonosító: FedRAMP High IR-3 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelés tesztelése CMA_0060 – Incidenskezelés tesztelése Manuális, Letiltva 1.1.0
Információbiztonsági program létrehozása CMA_0263 – Információbiztonsági program létrehozása Manuális, Letiltva 1.1.0
Szimulációs támadások futtatása CMA_0486 – Szimulációs támadások futtatása Manuális, Letiltva 1.1.0

Incidenskezelés

Azonosító: FedRAMP High IR-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információbiztonsági események felmérése CMA_0013 – Információbiztonsági események felmérése Manuális, Letiltva 1.1.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Készenléti tervek koordinálása kapcsolódó tervekkel CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel Manuális, Letiltva 1.1.0
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Biztonsági garanciák fejlesztése CMA_0161 – Biztonsági garanciák fejlesztése Manuális, Letiltva 1.1.0
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.2.0
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. AuditIfNotExists, Disabled 2.1.0
Hálózatvédelem engedélyezése CMA_0238 – Hálózatvédelem engedélyezése Manuális, Letiltva 1.1.0
Szennyezett adatok felszámolása CMA_0253 – Szennyezett adatok felszámolása Manuális, Letiltva 1.1.0
Műveletek végrehajtása az információk kiömlésére válaszul CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul Manuális, Letiltva 1.1.0
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0
Incidenskezelési terv karbantartása CMA_0352 – Incidenskezelési terv karbantartása Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1
Korlátozott felhasználók megtekintése és vizsgálata CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata Manuális, Letiltva 1.1.0

Automatizált incidenskezelési folyamatok

Azonosító: FedRAMP High IR-4 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Hálózatvédelem engedélyezése CMA_0238 – Hálózatvédelem engedélyezése Manuális, Letiltva 1.1.0
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0

Dinamikus újrakonfigurálás

Azonosító: FedRAMP High IR-4 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása CMA_C1364 – Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása Manuális, Letiltva 1.1.0

A műveletek folytonossága

Azonosító: FedRAMP High IR-4 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidensek és végrehajtott műveletek osztályainak azonosítása CMA_C1365 – Incidensek és végrehajtott műveletek osztályainak azonosítása Manuális, Letiltva 1.1.0

Információ korrelációja

Azonosító: FedRAMP High IR-4 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0

Insider Threats – Speciális képességek

Azonosító: FedRAMP High IR-4 (6) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelési képesség implementálása CMA_C1367 – Incidenskezelési képesség implementálása Manuális, Letiltva 1.1.0

Korreláció külső szervezetekkel

Azonosító: FedRAMP High IR-4 (8) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Együttműködés a külső szervezetekkel a szervezetközi perspektívák elérése érdekében CMA_C1368 – Együttműködés külső szervezetekkel a szervezetközi perspektívák elérése érdekében Manuális, Letiltva 1.1.0

Incidensfigyelés

Azonosító: FedRAMP High IR-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.2.0
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. AuditIfNotExists, Disabled 2.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1

Automatizált jelentéskészítés

Azonosító: FedRAMP High IR-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági műveletek dokumentálása CMA_0202 – Biztonsági műveletek dokumentálása Manuális, Letiltva 1.1.0

Incidenskezelési segítség

Azonosító: FedRAMP High IR-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági műveletek dokumentálása CMA_0202 – Biztonsági műveletek dokumentálása Manuális, Letiltva 1.1.0

Automatizálási támogatás az információk rendelkezésre állásához / támogatás

Azonosító: FedRAMP High IR-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Hálózatvédelem engedélyezése CMA_0238 – Hálózatvédelem engedélyezése Manuális, Letiltva 1.1.0
Szennyezett adatok felszámolása CMA_0253 – Szennyezett adatok felszámolása Manuális, Letiltva 1.1.0
Műveletek végrehajtása az információk kiömlésére válaszul CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul Manuális, Letiltva 1.1.0
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Korlátozott felhasználók megtekintése és vizsgálata CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata Manuális, Letiltva 1.1.0

Koordináció külső szolgáltatókkal

Azonosító: FedRAMP High IR-7 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kapcsolat létrehozása az incidenskezelési képesség és a külső szolgáltatók között CMA_C1376 – Kapcsolat létrehozása az incidenskezelési képesség és a külső szolgáltatók között Manuális, Letiltva 1.1.0
Incidenskezelési személyzet azonosítása CMA_0301 – Incidenskezelési személyzet azonosítása Manuális, Letiltva 1.1.0

Incidensmegoldási terv

Azonosító: FedRAMP High IR-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információbiztonsági események felmérése CMA_0013 – Információbiztonsági események felmérése Manuális, Letiltva 1.1.0
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0
Adatszivárgási rekordok kezelése CMA_0351 – Adatszivárgási rekordok karbantartása Manuális, Letiltva 1.1.0
Incidenskezelési terv karbantartása CMA_0352 – Incidenskezelési terv karbantartása Manuális, Letiltva 1.1.0
Incidenskezelési terv védelme CMA_0405 – Incidenskezelési terv védelme Manuális, Letiltva 1.1.0

Információk kiömlése válasz

Id: FedRAMP High IR-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Riasztási személyzet az információk kiömlése miatt CMA_0007 – Az információk kiömlésének riasztása Manuális, Letiltva 1.1.0
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Szennyezett adatok felszámolása CMA_0253 – Szennyezett adatok felszámolása Manuális, Letiltva 1.1.0
Műveletek végrehajtása az információk kiömlésére válaszul CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul Manuális, Letiltva 1.1.0
Szennyezett rendszerek és összetevők azonosítása CMA_0300 – Szennyezett rendszerek és összetevők azonosítása Manuális, Letiltva 1.1.0
A kiömlött információk azonosítása CMA_0303 – Kiömlött információk azonosítása Manuális, Letiltva 1.1.0
Az információk kiömlött adatainak elkülönítése CMA_0346 – Az információk kiömlött adatainak elkülönítése Manuális, Letiltva 1.1.0

Felelős személyzet

Azonosító: FedRAMP High IR-9 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelési személyzet azonosítása CMA_0301 – Incidenskezelési személyzet azonosítása Manuális, Letiltva 1.1.0

Oktatás

Azonosító: FedRAMP High IR-9 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információk kiömlése betanításának biztosítása CMA_0413 – Információátömlési képzés biztosítása Manuális, Letiltva 1.1.0

Kiömlés utáni műveletek

Azonosító: FedRAMP High IR-9 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A kiömlésre adott válasz eljárásainak fejlesztése CMA_0162 – Kiömlött válasz eljárások fejlesztése Manuális, Letiltva 1.1.0

Illetéktelen személyeknek való kitettség

Azonosító: FedRAMP High IR-9 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági garanciák fejlesztése CMA_0161 – Biztonsági garanciák fejlesztése Manuális, Letiltva 1.1.0

Karbantartás

Rendszerkarbantartási szabályzat és eljárások

Id: FedRAMP High MA-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerkarbantartási szabályzatok és eljárások áttekintése és frissítése CMA_C1395 – Rendszerkarbantartási szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Szabályozott karbantartás

Azonosító: FedRAMP High MA-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Automatizált karbantartási tevékenységek

Azonosító: FedRAMP High MA-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távoli karbantartási tevékenységek automatizálása CMA_C1402 – Távoli karbantartási tevékenységek automatizálása Manuális, Letiltva 1.1.0
A távkarbantartási tevékenységek teljes nyilvántartásának készítése CMA_C1403 – A távkarbantartási tevékenységek teljes nyilvántartásának készítése Manuális, Letiltva 1.1.0

Karbantartási eszközök

Azonosító: FedRAMP High MA-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Eszközök vizsgálata

Azonosító: FedRAMP High MA-3 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Adathordozó vizsgálata

Azonosító: FedRAMP High MA-3 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Jogosulatlan eltávolítás megakadályozása

Azonosító: FedRAMP High MA-3 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Nem lokális karbantartás

Id: FedRAMP High MA-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Dokumentum nem lokális karbantartása

Azonosító: FedRAMP High MA-4 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Hasonló biztonság / Fertőtlenítés

Azonosító: FedRAMP High MA-4 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Minden nem helyi karbantartás végrehajtása CMA_C1417 – Minden nem helyi karbantartás elvégzése Manuális, Letiltva 1.1.0

Titkosítási védelem

Azonosító: FedRAMP High MA-4 (6) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Titkosítási mechanizmusok implementálása CMA_C1419 – Titkosítási mechanizmusok implementálása Manuális, Letiltva 1.1.0

Karbantartó személyzet

Id: FedRAMP High MA-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére CMA_C1422 – Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére Manuális, Letiltva 1.1.0
Az engedélyezett távkarbantartási munkatársak listájának karbantartása CMA_C1420 – Az engedélyezett távkarbantartó személyzet listájának karbantartása Manuális, Letiltva 1.1.0
Karbantartó személyzet kezelése CMA_C1421 – Karbantartó személyzet kezelése Manuális, Letiltva 1.1.0

Megfelelő hozzáféréssel nem rendelkező személyek

Azonosító: FedRAMP High MA-5 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Időbeni karbantartás

Azonosító: FedRAMP High MA-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Időbeni karbantartás támogatása CMA_C1425 – Időbeni karbantartás támogatása Manuális, Letiltva 1.1.0

Médiavédelem

Médiavédelmi szabályzat és eljárások

Id: FedRAMP High MP-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiavédelmi szabályzatok és eljárások áttekintése és frissítése CMA_C1427 – Médiavédelmi szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Médiahozzáférés

Id: FedRAMP High MP-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Médiajelölés

Id: FedRAMP High MP-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Media Storage

Id: FedRAMP High MP-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Médiaátvitel

Id: FedRAMP High MP-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Eszközök szállításának kezelése CMA_0370 – Eszközök szállításának kezelése Manuális, Letiltva 1.1.0

Titkosítási védelem

Azonosító: FedRAMP High MP-5 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Eszközök szállításának kezelése CMA_0370 – Eszközök szállításának kezelése Manuális, Letiltva 1.1.0

Médiafertőtlenítés

Azonosító: FedRAMP High MP-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Felülvizsgálat / Jóváhagyás / Nyomon követés / Dokumentum / Ellenőrzés

Id: FedRAMP High MP-6 (1) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Berendezések tesztelése

Azonosító: FedRAMP High MP-6 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Médiahasználat

Id: FedRAMP High MP-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Médiahasználat korlátozása CMA_0450 – Médiahasználat korlátozása Manuális, Letiltva 1.1.0

Használat tiltása tulajdonos nélkül

Azonosító: FedRAMP High MP-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Médiahasználat korlátozása CMA_0450 – Médiahasználat korlátozása Manuális, Letiltva 1.1.0

Fizikai és környezetvédelmi

Fizikai és környezetvédelmi politika és eljárások

Id: FedRAMP High PE-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai és környezetvédelmi szabályzatok és eljárások áttekintése és frissítése CMA_C1446 – Fizikai és környezetvédelmi szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Fizikai hozzáférés engedélyezése

Azonosító: FedRAMP High PE-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0

Fizikai hozzáférés-vezérlés

Id: FedRAMP High PE-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Fizikai kulcskezelési folyamat definiálása CMA_0115 – Fizikai kulcskezelési folyamat definiálása Manuális, Letiltva 1.1.0
Eszközleltár létrehozása és karbantartása CMA_0266 – Eszközleltár létrehozása és karbantartása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Hozzáférés-vezérlés átviteli adathordozóhoz

Id: FedRAMP High PE-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Hozzáférés-vezérlés kimeneti eszközökhöz

Id: FedRAMP High PE-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése Manuális, Letiltva 1.1.0

Behatolásjelzők / Megfigyelő berendezések

Azonosító: FedRAMP High PE-6 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Riasztórendszer telepítése CMA_0338 – Riasztórendszer telepítése Manuális, Letiltva 1.1.0
Biztonságos térfigyelő kamerarendszer kezelése CMA_0354 – Biztonságos térfigyelő kamerarendszer kezelése Manuális, Letiltva 1.1.0

Látogatói hozzáférési rekordok

Id: FedRAMP High PE-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Vészvilágítás

Id: FedRAMP High PE-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Automatikus vészvilágítás alkalmazása CMA_0209 – Automatikus vészvilágítás alkalmazása Manuális, Letiltva 1.1.0

Tűzvédelem

Azonosító: FedRAMP High PE-13 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Észlelési eszközök / rendszerek

Azonosító: FedRAMP High PE-13 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Behatolástesztelési módszertan implementálása CMA_0306 – Behatolástesztelési módszertan implementálása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0
Szimulációs támadások futtatása CMA_0486 – Szimulációs támadások futtatása Manuális, Letiltva 1.1.0

Elnyomási eszközök / rendszerek

Azonosító: FedRAMP High PE-13 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Automatikus tűzelnyomás

Azonosító: FedRAMP High PE-13 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Hőmérséklet- és páratartalom-vezérlés

Id: FedRAMP High PE-14 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Figyelés riasztásokkal/ értesítésekkel

Id: FedRAMP High PE-14 (2) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0
Riasztórendszer telepítése CMA_0338 – Riasztórendszer telepítése Manuális, Letiltva 1.1.0

Vízkár elleni védelem

Id: FedRAMP High PE-15 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Kézbesítés és eltávolítás

Id: FedRAMP High PE-16 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az eszközök kezelésével kapcsolatos követelmények meghatározása CMA_0125 – Az eszközök kezelésével kapcsolatos követelmények meghatározása Manuális, Letiltva 1.1.0
Eszközök szállításának kezelése CMA_0370 – Eszközök szállításának kezelése Manuális, Letiltva 1.1.0

Alternatív munkawebhely

Azonosító: FedRAMP High PE-17 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez Manuális, Letiltva 1.1.0

Az információs rendszer összetevőinek helye

Id: FedRAMP High PE-18 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

Tervezés

Biztonsági tervezési szabályzat és eljárások

Id: FedRAMP High PL-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Tervezési szabályzatok és eljárások áttekintése és frissítése CMA_C1491 – Tervezési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Rendszerbiztonsági terv

Id: FedRAMP High PL-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerbiztonsági terv kidolgozása és létrehozása CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok és eljárások fejlesztése CMA_0158 – Információbiztonsági szabályzatok és eljárások fejlesztése Manuális, Letiltva 1.1.0
Feltételeknek megfelelő SSP fejlesztése CMA_C1492 – Feltételeknek megfelelő SSP fejlesztése Manuális, Letiltva 1.1.0
Adatvédelmi program létrehozása CMA_0257 – Adatvédelmi program létrehozása Manuális, Letiltva 1.1.0
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása Manuális, Letiltva 1.1.0
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása Manuális, Letiltva 1.1.0

Más szervezeti entitásokkal való tervezés/koordinálás

Azonosító: FedRAMP High PL-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerbiztonsági terv kidolgozása és létrehozása CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása Manuális, Letiltva 1.1.0
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása Manuális, Letiltva 1.1.0
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása Manuális, Letiltva 1.1.0

Viselkedési szabályok

Id: FedRAMP High PL-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Elfogadható használati szabályzatok és eljárások kidolgozása CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása Manuális, Letiltva 1.1.0
Szervezeti magatartási szabályzat fejlesztése CMA_0159 – Szervezeti magatartási szabályzat kidolgozása Manuális, Letiltva 1.1.0
A személyzet adatvédelmi követelményeinek elfogadása CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása Manuális, Letiltva 1.1.0
Viselkedési és hozzáférési szabályok kényszerítése CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése Manuális, Letiltva 1.1.0
Tisztességtelen eljárások tiltása CMA_0396 – Tisztességtelen eljárások tiltása Manuális, Letiltva 1.1.0
Módosított viselkedési szabályok áttekintése és aláírása CMA_0465 – Felülvizsgált viselkedési szabályok áttekintése és aláírása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok frissítése CMA_0518 – Információbiztonsági szabályzatok frissítése Manuális, Letiltva 1.1.0
Viselkedési és hozzáférési szerződések szabályainak frissítése CMA_0521 – Viselkedési és hozzáférési szerződések szabályainak frissítése Manuális, Letiltva 1.1.0
Viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente CMA_0522 – A viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente Manuális, Letiltva 1.1.0

Közösségi média és hálózatkezelési korlátozások

Azonosító: FedRAMP High PL-4 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Elfogadható használati szabályzatok és eljárások kidolgozása CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása Manuális, Letiltva 1.1.0

Információbiztonsági architektúra

Id: FedRAMP High PL-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Üzemeltetési koncepció (CONOPS) kidolgozása CMA_0141 – Üzemeltetési koncepció (CONOPS) kidolgozása Manuális, Letiltva 1.1.0
Az információbiztonsági architektúra áttekintése és frissítése CMA_C1504 – Az információbiztonsági architektúra áttekintése és frissítése Manuális, Letiltva 1.1.0

Személyzeti biztonság

Személyzeti biztonsági szabályzat és eljárások

Id: FedRAMP High PS-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A személyzeti biztonsági szabályzatok és eljárások áttekintése és frissítése CMA_C1507 – A személyzeti biztonsági szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Pozíciókockázat megjelölése

Id: FedRAMP High PS-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázatmegjelölések hozzárendelése CMA_0016 – Kockázatjelzők hozzárendelése Manuális, Letiltva 1.1.0

Személyzet szűrése

Id: FedRAMP High PS-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A minősített adatokhoz való hozzáféréssel rendelkező személyzet törlése CMA_0054 – A minősített információkhoz való hozzáféréssel rendelkező személyzet törlése Manuális, Letiltva 1.1.0
A személyzet szűrésének megvalósítása CMA_0322 – Személyzetszűrés megvalósítása Manuális, Letiltva 1.1.0
Személyek ismételt képernyőre vetítése meghatározott gyakorisággal CMA_C1512 – Személyek újraszűnítése meghatározott gyakorisággal Manuális, Letiltva 1.1.0

Különleges védelmi intézkedésekkel kapcsolatos információk

Id: FedRAMP High PS-3 (3) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Speciális információk védelme CMA_0409 – Speciális információk védelme Manuális, Letiltva 1.1.0

Személyzet megszüntetése

Id: FedRAMP High PS-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kilépési interjú lefolytatása a megszüntetéskor CMA_0058 – Kilépési interjú befejezésekor Manuális, Letiltva 1.1.0
Hitelesítők letiltása a leállításkor CMA_0169 – Hitelesítők letiltása a megszüntetéskor Manuális, Letiltva 1.1.0
Értesítés a felmondásról vagy az átadásról CMA_0381 – Értesítés a felmondásról vagy az átadásról Manuális, Letiltva 1.1.0
Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása CMA_0398 – Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása Manuális, Letiltva 1.1.0
Megszakított felhasználói adatok megőrzése CMA_0455 – Megszakított felhasználói adatok megőrzése Manuális, Letiltva 1.1.0

Automatikus értesítés

Id: FedRAMP High PS-4 (2) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az alkalmazottak felmondásáról szóló értesítés automatizálása CMA_C1521 – Az alkalmazottak felmondásáról szóló értesítés automatizálása Manuális, Letiltva 1.1.0

Személyzet átadása

Id: FedRAMP High PS-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése CMA_0333 – Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése Manuális, Letiltva 1.1.0
Hozzáférési engedélyek módosítása a személyzeti átadáskor CMA_0374 – Hozzáférés-engedélyek módosítása személyi átadáskor Manuális, Letiltva 1.1.0
Értesítés a felmondásról vagy az átadásról CMA_0381 – Értesítés a felmondásról vagy az átadásról Manuális, Letiltva 1.1.0
A hozzáférés újraértékelése a személyzeti átadáskor CMA_0424 – A hozzáférés újraértékelése a személyzet átadásakor Manuális, Letiltva 1.1.0

Hozzáférési szerződések

Id: FedRAMP High PS-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szervezeti hozzáférési szerződések dokumentálása CMA_0192 – Szervezeti hozzáférési szerződések dokumentálása Manuális, Letiltva 1.1.0
Viselkedési és hozzáférési szabályok kényszerítése CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése Manuális, Letiltva 1.1.0
Győződjön meg arról, hogy a hozzáférési szerződések aláírása vagy lemondása időben meg van írva CMA_C1528 – Győződjön meg arról, hogy a hozzáférési megállapodások aláírása vagy lemondása időben meg van írva Manuális, Letiltva 1.1.0
Hozzáférési szerződés aláírásának megkövetelése a felhasználóknak CMA_0440 – Hozzáférési szerződés aláírásának megkövetelése a felhasználóknak Manuális, Letiltva 1.1.0
Szervezeti hozzáférési szerződések frissítése CMA_0520 – Szervezeti hozzáférési szerződések frissítése Manuális, Letiltva 1.1.0

Külső személyzet biztonsága

Id: FedRAMP High PS-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Külső személyzet biztonsági követelményeinek dokumentálása CMA_C1531 – Külső személyzet biztonsági követelményeinek dokumentálása Manuális, Letiltva 1.1.0
Külső személyzet biztonsági követelményeinek megállapítása CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása Manuális, Letiltva 1.1.0
Külső szolgáltató megfelelőségének monitorozása CMA_C1533 – Külső szolgáltatók megfelelőségének monitorozása Manuális, Letiltva 1.1.0
Külső személyzet áthelyezéséről vagy megszüntetéséről szóló értesítés megkövetelése CMA_C1532 – Harmadik féltől származó személyzet áthelyezéséről vagy megszüntetéséről szóló értesítés megkövetelése Manuális, Letiltva 1.1.0
Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre Manuális, Letiltva 1.1.0

Személyzeti szankciók

Id: FedRAMP High PS-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Formális szankciós folyamat implementálása CMA_0317 – Formális szankciós folyamat végrehajtása Manuális, Letiltva 1.1.0
A személyzet értesítése a szankciókról CMA_0380 – A személyzet értesítése a szankciókról Manuális, Letiltva 1.1.0

Kockázatértékelés

Kockázatértékelési szabályzat és eljárások

Id: FedRAMP High RA-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázatértékelési szabályzatok és eljárások áttekintése és frissítése CMA_C1537 – Kockázatértékelési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Biztonsági kategorizálás

Id: FedRAMP High RA-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információk kategorizálása CMA_0052 – Információk kategorizálása Manuális, Letiltva 1.1.0
Üzleti besorolási rendszerek fejlesztése CMA_0155 – Üzleti besorolási rendszerek fejlesztése Manuális, Letiltva 1.1.0
Győződjön meg arról, hogy a biztonsági kategorizálás jóvá van hagyva CMA_C1540 – A biztonsági kategorizálás jóváhagyásának biztosítása Manuális, Letiltva 1.1.0
Címketevékenység és -elemzés áttekintése CMA_0474 – Címketevékenység és -elemzés áttekintése Manuális, Letiltva 1.1.0

Kockázatértékelés

Azonosító: FedRAMP High RA-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázatértékelés végrehajtása CMA_C1543 – Kockázatértékelés elvégzése Manuális, Letiltva 1.1.0
Kockázatértékelés elvégzése és eredményeinek terjesztése CMA_C1544 – Kockázatértékelés elvégzése és eredményeinek terjesztése Manuális, Letiltva 1.1.0
Kockázatértékelés elvégzése és eredményeinek dokumentálása CMA_C1542 – Kockázatértékelés elvégzése és eredményeinek dokumentálása Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0

Biztonsági rések vizsgálata

Id: FedRAMP High RA-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. AuditIfNotExists, Disabled 4.1.0
A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. AuditIfNotExists, Disabled 1.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat AuditIfNotExists, Disabled 3.1.0
A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 1.0.1
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 3.0.0
A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. AuditIfNotExists, Disabled 1.0.0

Az eszköz frissítési képessége

Azonosító: FedRAMP High RA-5 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0

Frissítés gyakoriság szerint / Az új vizsgálat előtt / ha azonosították

Azonosító: FedRAMP High RA-5 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0

Szélesség / Lefedettség mélysége

Azonosító: FedRAMP High RA-5 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0

Felderíthető információk

Azonosító: FedRAMP High RA-5 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Művelet végrehajtása az ügyféladatokra válaszul CMA_C1554 – Művelet végrehajtása az ügyféladatokra válaszul Manuális, Letiltva 1.1.0

Emelt szintű hozzáférés

Azonosító: FedRAMP High RA-5 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kiemelt hozzáférés implementálása a biztonságirés-ellenőrzési tevékenységek végrehajtásához CMA_C1555 – Kiemelt hozzáférés megvalósítása a biztonságirés-ellenőrzési tevékenységek végrehajtásához Manuális, Letiltva 1.1.0

Automatizált trendelemzések

Azonosító: FedRAMP High RA-5 (6) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági hiányosságok megfigyelése és jelentése CMA_0384 – Biztonsági hiányosságok megfigyelése és jelentése Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Fenyegetésmodellezés végrehajtása CMA_0392 – Fenyegetésmodellezés végrehajtása Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0

Korábbi naplók áttekintése

Azonosító: FedRAMP High RA-5 (8) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Felhasználói fiók állapotának naplózása CMA_0020 – Felhasználói fiók állapotának naplózása Manuális, Letiltva 1.1.0
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0
Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0
Auditvizsgálat, elemzés és jelentéskészítés integrálása CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0
Fiókkiépítési naplók áttekintése CMA_0460 – Fiókkiépítési naplók áttekintése Manuális, Letiltva 1.1.0
Rendszergazdai hozzárendelések heti áttekintése CMA_0461 – Rendszergazdai feladatok heti áttekintése Manuális, Letiltva 1.1.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0
A felhő identitásjelentésének áttekintése CMA_0468 – A felhőalapú identitásjelentés áttekintése Manuális, Letiltva 1.1.0
Ellenőrzött mappaelérési események áttekintése CMA_0471 – Ellenőrzött mappaelérési események áttekintése Manuális, Letiltva 1.1.0
Biztonsági rések elleni védelmi események áttekintése CMA_0472 – Biztonsági rések elleni védelmi események áttekintése Manuális, Letiltva 1.1.0
Fájl- és mappatevékenység áttekintése CMA_0473 – Fájl- és mappatevékenység áttekintése Manuális, Letiltva 1.1.0
Szerepkörcsoportok változásainak heti áttekintése CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése Manuális, Letiltva 1.1.0

A vizsgálati adatok korrelációja

Id: FedRAMP High RA-5 (10) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonságirés-vizsgálat adatainak korrelációja CMA_C1558 – A biztonságirés-vizsgálat adatainak korrelációja Manuális, Letiltva 1.1.1

Rendszer- és szolgáltatásbeszerzés

Rendszer- és szolgáltatásbeszerzési szabályzat és eljárások

Azonosító: FedRAMP High SA-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer- és szolgáltatásbeszerzési szabályzatok és eljárások áttekintése és frissítése CMA_C1560 – Rendszer- és szolgáltatásbeszerzési szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Erőforrások lefoglalása

Azonosító: FedRAMP High SA-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Üzleti célkitűzések és informatikai célok összehangolása CMA_0008 – Üzleti célok és informatikai célok összehangolása Manuális, Letiltva 1.1.0
Erőforrások lefoglalása az információs rendszer követelményeinek meghatározásához CMA_C1561 – Erőforrások lefoglalása az információs rendszer követelményeinek meghatározásához Manuális, Letiltva 1.1.0
Különálló sorelem létrehozása a költségvetés-dokumentációban CMA_C1563 – Különálló sorelem létrehozása a költségvetés-dokumentációban Manuális, Letiltva 1.1.0
Adatvédelmi program létrehozása CMA_0257 – Adatvédelmi program létrehozása Manuális, Letiltva 1.1.0
Az erőforrások elosztásának szabályozása CMA_0293 – Az erőforrások elosztásának szabályozása Manuális, Letiltva 1.1.0
Biztonságos elkötelezettség a vezetőségtől CMA_0489 – Biztonságos elkötelezettség a vezetőség részéről Manuális, Letiltva 1.1.0

Rendszerfejlesztési életciklus

Azonosító: FedRAMP High SA-3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információbiztonsági szerepkörök és felelősségek meghatározása CMA_C1565 – Információbiztonsági szerepkörök és felelősségek meghatározása Manuális, Letiltva 1.1.0
Biztonsági szerepkörrel és felelősségekkel rendelkező személyek azonosítása CMA_C1566 – A biztonsági szerepkörrel és felelősségekkel rendelkező személyek azonosítása Manuális, Letiltva 1.1.1
Kockázatkezelési folyamat integrálása az SDLC-be CMA_C1567 – Kockázatkezelési folyamat integrálása az SDLC-be Manuális, Letiltva 1.1.0

Beszerzési folyamat

Azonosító: FedRAMP High SA-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szállítói szerződési kötelezettségek meghatározása CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása Manuális, Letiltva 1.1.0
Dokumentumbeszerzési szerződés elfogadásának feltételei CMA_0187 – A beszerzési szerződés elfogadásának feltételei Manuális, Letiltva 1.1.0
A személyes adatok védelme a beszerzési szerződésekben CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben Manuális, Letiltva 1.1.0
A beszerzési szerződések biztonsági információinak dokumentumvédelme CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme Manuális, Letiltva 1.1.0
A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények Manuális, Letiltva 1.1.0
A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása Manuális, Letiltva 1.1.0
A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben Manuális, Letiltva 1.1.0
A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása Manuális, Letiltva 1.1.0
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása Manuális, Letiltva 1.1.0
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben Manuális, Letiltva 1.1.0
A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben Manuális, Letiltva 1.1.0

A biztonsági vezérlők funkcionális tulajdonságai

Azonosító: FedRAMP High SA-4 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonsági vezérlők funkcionális tulajdonságainak beszerzése CMA_C1575 – A biztonsági vezérlők funkcionális tulajdonságainak beszerzése Manuális, Letiltva 1.1.0

Biztonsági vezérlők tervezési/ megvalósítási információi

Azonosító: FedRAMP High SA-4 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Tervezési és megvalósítási információk beszerzése a biztonsági vezérlőkhöz CMA_C1576 – Tervezési és megvalósítási információk beszerzése a biztonsági vezérlőkhöz Manuális, Letiltva 1.1.1

Folyamatos figyelési terv

Azonosító: FedRAMP High SA-4 (8) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Folyamatos figyelési terv beszerzése a biztonsági vezérlőkhöz CMA_C1577 – Folyamatos monitorozási terv beszerzése a biztonsági vezérlőkhöz Manuális, Letiltva 1.1.0

Függvények / Portok / Protokollok / Használatban lévő szolgáltatások

Azonosító: FedRAMP High SA-4 (9) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
SDLC-portok, protokollok és szolgáltatások azonosításának megkövetelése a fejlesztőtől CMA_C1578 – SDLC-portok, protokollok és szolgáltatások azonosításának megkövetelése a fejlesztőtől Manuális, Letiltva 1.1.0

Jóváhagyott Piv-termékek használata

Azonosító: FedRAMP High SA-4 (10) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
FIPS 201 által jóváhagyott technológia alkalmazása a PIV-hez CMA_C1579 – FIPS 201 által jóváhagyott technológia alkalmazása a PIV-hez Manuális, Letiltva 1.1.0

Információs rendszer dokumentációja

Azonosító: FedRAMP High SA-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az információs rendszer dokumentációja CMA_C1584 – Az információs rendszer dokumentációja Manuális, Letiltva 1.1.0
Ügyfél által meghatározott műveletek dokumentálása CMA_C1582 – Ügyfél által meghatározott műveletek dokumentálása Manuális, Letiltva 1.1.0
Rendszergazdai dokumentáció beszerzése CMA_C1580 – Rendszergazdai dokumentáció beszerzése Manuális, Letiltva 1.1.0
Felhasználói biztonsági függvény dokumentációjának beszerzése CMA_C1581 – A felhasználói biztonsági függvény dokumentációjának beszerzése Manuális, Letiltva 1.1.0
Rendszergazdai és felhasználói dokumentáció védelme CMA_C1583 – Rendszergazdai és felhasználói dokumentáció védelme Manuális, Letiltva 1.1.0

Külső információs rendszerszolgáltatások

Azonosító: FedRAMP High SA-9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kormányzati felügyelet meghatározása és dokumentálása CMA_C1587 – Kormányzati felügyelet meghatározása és dokumentálása Manuális, Letiltva 1.1.0
Külső szolgáltatók megkövetelése a biztonsági követelményeknek való megfeleléshez CMA_C1586 – Külső szolgáltatók megkövetelése a biztonsági követelményeknek való megfeleléshez Manuális, Letiltva 1.1.0
A felhőszolgáltató szabályzatoknak és szerződéseknek való megfelelésének áttekintése CMA_0469 – A felhőszolgáltató szabályzatoknak és megállapodásoknak való megfelelésének áttekintése Manuális, Letiltva 1.1.0
Független biztonsági felülvizsgálaton megy keresztül CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül Manuális, Letiltva 1.1.0

Kockázatértékelések / Szervezeti jóváhagyások

Azonosító: FedRAMP High SA-9 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázat felmérése harmadik fél kapcsolataiban CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban Manuális, Letiltva 1.1.0
Jóváhagyások beszerzése beszerzésekhez és kiszervezéshez CMA_C1590 – Beszerzések és kiszervezések jóváhagyásának beszerzése Manuális, Letiltva 1.1.0

Függvények / portok / protokollok / szolgáltatások azonosítása

Azonosító: FedRAMP High SA-9 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Külső szolgáltatók azonosítása CMA_C1591 – Külső szolgáltatók azonosítása Manuális, Letiltva 1.1.0

A fogyasztók és szolgáltatók egységes érdekei

Azonosító: FedRAMP High SA-9 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Annak biztosítása, hogy a külső szolgáltatók következetesen megfeleljenek az ügyfelek érdekeinek CMA_C1592 – Annak biztosítása, hogy a külső szolgáltatók következetesen megfeleljenek az ügyfelek érdekeinek Manuális, Letiltva 1.1.0

Feldolgozás, tárolás és szolgáltatás helye

Azonosító: FedRAMP High SA-9 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az adatfeldolgozás, a tárolás és a szolgáltatások helyének korlátozása CMA_C1593 – Az adatfeldolgozás, a tárolás és a szolgáltatások helyének korlátozása Manuális, Letiltva 1.1.0

Fejlesztői konfigurációkezelés

Azonosító: FedRAMP High SA-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kódolási biztonsági rések kezelése CMA_0003 – Kódolási biztonsági rések kezelése Manuális, Letiltva 1.1.0
Alkalmazásbiztonsági követelmények kidolgozása és dokumentálása CMA_0148 – Alkalmazásbiztonsági követelmények kidolgozása és dokumentálása Manuális, Letiltva 1.1.0
Az információs rendszer környezetének dokumentálása beszerzési szerződésekben CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben Manuális, Letiltva 1.1.0
Biztonságos szoftverfejlesztési program létrehozása CMA_0259 – Biztonságos szoftverfejlesztési program létrehozása Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
A fejlesztőktől megkövetelheti, hogy dokumentálják a jóváhagyott módosításokat és a lehetséges hatásokat CMA_C1597 – A fejlesztőktől megkövetelheti, hogy dokumentálják a jóváhagyott módosításokat és a lehetséges hatásokat Manuális, Letiltva 1.1.0
Csak jóváhagyott módosítások implementálásának megkövetelése a fejlesztőktől CMA_C1596 – Csak jóváhagyott módosítások implementálásának megkövetelése a fejlesztőktől Manuális, Letiltva 1.1.0
A fejlesztők megkövetelése a változásintegritás kezeléséhez CMA_C1595 – A fejlesztőknek a változásintegritás kezeléséhez kell megkövetelniük Manuális, Letiltva 1.1.0

Szoftver/ Belső vezérlőprogram integritásának ellenőrzése

Azonosító: FedRAMP High SA-10 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése Manuális, Letiltva 1.1.0

Fejlesztői biztonsági tesztelés és kiértékelés

Azonosító: FedRAMP High SA-11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
A fejlesztők megkövetelése a biztonsági felmérési terv végrehajtására vonatkozó bizonyítékok előállításához CMA_C1602 – A fejlesztők megkövetelése a biztonsági felmérési terv végrehajtására vonatkozó bizonyítékok előállításához Manuális, Letiltva 1.1.0

Ellátási lánc védelme

Azonosító: FedRAMP High SA-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázat felmérése harmadik fél kapcsolataiban CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban Manuális, Letiltva 1.1.0
Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0
Szállítói szerződési kötelezettségek meghatározása CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása Manuális, Letiltva 1.1.0
Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez Manuális, Letiltva 1.1.0

Fejlesztési folyamat, szabványok és eszközök

Azonosító: FedRAMP High SA-15 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A fejlesztési folyamat, a szabványok és az eszközök áttekintése CMA_C1610 – Fejlesztési folyamat, szabványok és eszközök áttekintése Manuális, Letiltva 1.1.0

Fejlesztő által biztosított képzés

Id: FedRAMP High SA-16 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A fejlesztők képzésének megkövetelése CMA_C1611 – A fejlesztők képzésének megkövetelése Manuális, Letiltva 1.1.0

Fejlesztői biztonsági architektúra és tervezés

Azonosító: FedRAMP High SA-17 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági architektúra kiépítésének megkövetelése a fejlesztőktől CMA_C1612 – Biztonsági architektúra kiépítésének megkövetelése a fejlesztőktől Manuális, Letiltva 1.1.0
A fejlesztők megkövetelése a pontos biztonsági funkciók leírására CMA_C1613 – A fejlesztők megkövetelése a pontos biztonsági funkciók leírására Manuális, Letiltva 1.1.0
Egységes biztonsági védelmi megközelítés megkövetelése a fejlesztőktől CMA_C1614 – Egységes biztonsági védelmi megközelítés megkövetelése a fejlesztőktől Manuális, Letiltva 1.1.0

Rendszer- és kommunikációs védelem

Rendszer- és kommunikációs védelmi szabályzat és eljárások

Id: FedRAMP High SC-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer- és kommunikációs védelmi szabályzatok és eljárások áttekintése és frissítése CMA_C1616 – Rendszer- és kommunikációs védelmi szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Alkalmazásparticionálás

Azonosító: FedRAMP High SC-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
Felhasználó- és információsrendszer-kezelési funkciók elkülönítése CMA_0493 – A felhasználói és információs rendszer felügyeleti funkcióinak elkülönítése Manuális, Letiltva 1.1.0
Dedikált gépek használata felügyeleti feladatokhoz CMA_0527 – Dedikált gépek használata rendszergazdai feladatokhoz Manuális, Letiltva 1.1.0

Biztonsági függvény elkülönítése

Azonosító: FedRAMP High SC-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Szolgáltatásmegtagadás elleni védelem

Azonosító: FedRAMP High SC-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure DDoS Protection használatát A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. AuditIfNotExists, Disabled 3.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
DDoS-választerv fejlesztése és dokumentálása CMA_0147 – DDoS-választerv fejlesztése és dokumentálása Manuális, Letiltva 1.1.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

Erőforrás elérhetősége

Azonosító: FedRAMP High SC-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az erőforrások elosztásának szabályozása CMA_0293 – Az erőforrások elosztásának szabályozása Manuális, Letiltva 1.1.0
Rendelkezésre állás és kapacitás kezelése CMA_0356 – A rendelkezésre állás és a kapacitás kezelése Manuális, Letiltva 1.1.0
Biztonságos elkötelezettség a vezetőségtől CMA_0489 – Biztonságos elkötelezettség a vezetőség részéről Manuális, Letiltva 1.1.0

Határvédelem

Azonosító: FedRAMP High SC-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

Hozzáférési pontok

Azonosító: FedRAMP High SC-7 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

Külső távközlési szolgáltatások

Azonosító: FedRAMP High SC-7 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felügyelt felület implementálása minden külső szolgáltatáshoz CMA_C1626 – Felügyelt felület implementálása minden külső szolgáltatáshoz Manuális, Letiltva 1.1.0
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0
Az interfész védelme külső rendszerekhez CMA_0491 – Az interfész védelme külső rendszerekhez Manuális, Letiltva 1.1.0

Távoli eszközök osztott bújtatásának megakadályozása

Azonosító: FedRAMP High SC-7 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távoli eszközök osztott bújtatásának megakadályozása CMA_C1632 – Távoli eszközök osztott bújtatásának megakadályozása Manuális, Letiltva 1.1.0

Forgalom átirányítása hitelesített proxykiszolgálókra

Azonosító: FedRAMP High SC-7 (8) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Forgalom irányítása hitelesített proxyhálózaton keresztül CMA_C1633 – Forgalom irányítása hitelesített proxyhálózaton keresztül Manuális, Letiltva 1.1.0

Gazdagépalapú védelem

Azonosító: FedRAMP High SC-7 (12) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0

A biztonsági eszközök elkülönítése / Mechanizmusok / Támogatási összetevők

Azonosító: FedRAMP High SC-7 (13) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
SecurID-rendszerek elkülönítése, biztonsági incidenskezelési rendszerek CMA_C1636 – SecurID-rendszerek, biztonsági incidenskezelési rendszerek elkülönítése Manuális, Letiltva 1.1.0

Feladat biztonságossá tétele

Id: FedRAMP High SC-7 (18) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0
A készenléti és az aktív rendszerösszetevők közötti átvitelek kezelése CMA_0371 – A készenléti és az aktív rendszerösszetevők közötti átvitel kezelése Manuális, Letiltva 1.1.0

Dinamikus elkülönítés/elkülönítés

Azonosító: FedRAMP High SC-7 (20) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az erőforrások dinamikus elkülönítésére képes rendszer biztosítása CMA_C1638 – Az erőforrások dinamikus elkülönítésére képes rendszer biztosítása Manuális, Letiltva 1.1.0

Az információs rendszer összetevőinek elkülönítése

Azonosító: FedRAMP High SC-7 (21) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Határvédelem alkalmazása az információs rendszerek elkülönítéséhez CMA_C1639 – Határvédelem alkalmazása az információs rendszerek elkülönítéséhez Manuális, Letiltva 1.1.0

Továbbítási bizalmasság és integritás

Azonosító: FedRAMP High SC-8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 4.0.0
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. Naplózás, megtagadás, letiltva 1.0.0
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
A függvényalkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 5.0.0
A függvényalkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
A függvényalkalmazások a legújabb TLS-verziót használják A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól Naplózás, megtagadás, letiltva 1.0.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0
Jelszavak védelme titkosítással CMA_0408 – Jelszavak védelme titkosítással Manuális, Letiltva 1.1.0
Engedélyezni kell a tárfiókokba való biztonságos átvitelt A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 2.0.0
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. AuditIfNotExists, Disabled 4.1.1

Titkosítási vagy alternatív fizikai védelem

Azonosító: FedRAMP High SC-8 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 4.0.0
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. Naplózás, megtagadás, letiltva 1.0.0
Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére Manuális, Letiltva 1.1.0
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
A függvényalkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 5.0.0
A függvényalkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
A függvényalkalmazások a legújabb TLS-verziót használják A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól Naplózás, megtagadás, letiltva 1.0.0
Engedélyezni kell a tárfiókokba való biztonságos átvitelt A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 2.0.0
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. AuditIfNotExists, Disabled 4.1.1

Hálózati kapcsolat bontása

Azonosító: FedRAMP High SC-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználói munkamenet ismételt hitelesítése vagy leállása CMA_0421 – Felhasználói munkamenet újbóli hitelesítése vagy leállása Manuális, Letiltva 1.1.0

Titkosítási kulcs létrehozása és kezelése

Azonosító: FedRAMP High SC-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. Naplózás, megtagadás, letiltva 1.0.0-előzetes verzió
[Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. Naplózás, megtagadás, letiltva 1.0.0-előzetes verzió
Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. Naplózás, megtagadás, letiltva 2.2.0
Az Azure API for FHIR-nek ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat Az ügyfél által kezelt kulccsal szabályozhatja a titkosítást az Azure API for FHIR-ben tárolt többi adatnál, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. naplózás, naplózás, letiltva, Letiltva 1.1.0
Az Azure Automation-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Automation-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/automation-cmk. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Batch-fióknak ügyfél által felügyelt kulcsokat kell használnia az adatok titkosításához Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Batch-fiók adatainak többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/Batch-CMK. Naplózás, megtagadás, letiltva 1.0.1
Az Azure Container Instance tárolócsoportjának ügyfél által felügyelt kulcsot kell használnia a titkosításhoz Az ügyfél által felügyelt kulcsokkal nagyobb rugalmassággal védheti a tárolókat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. Naplózás, Letiltás, Megtagadás 1.0.0
Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Data Box-feladatoknak egy ügyfél által felügyelt kulccsal kell titkosítaniuk az eszköz feloldási jelszavát Ügyfél által felügyelt kulccsal szabályozhatja az eszköz feloldási jelszavának titkosítását az Azure Data Boxhoz. Az ügyfél által felügyelt kulcsok a Data Box szolgáltatás által az eszköz feloldási jelszavához való hozzáférést is kezelik az eszköz előkészítése és az adatok automatikus másolása érdekében. Az eszközön lévő adatok már inaktív állapotban vannak titkosítva az Advanced Encryption Standard 256 bites titkosítással, és az eszköz feloldási jelszava alapértelmezés szerint egy Microsoft által felügyelt kulccsal van titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. Naplózás, megtagadás, letiltva 1.0.0
Az Azure-adatgyárakat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Data Factory többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/adf-cmk. Naplózás, megtagadás, letiltva 1.0.1
Az Azure HDInsight-fürtöknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure HDInsight-fürtök többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/hdi.cmk. Naplózás, megtagadás, letiltva 1.0.1
Az Azure HDInsight-fürtöknek titkosítást kell használniuk a gazdagépen az inaktív adatok titkosításához A gazdagépen történő titkosítás engedélyezése segít megvédeni és védeni az adatokat, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. Naplózás, megtagadás, letiltva 1.1.0
Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. Naplózás, megtagadás, letiltva 1.0.0
A Bot Service-t ügyfél által felügyelt kulccsal kell titkosítani Az Azure Bot Service automatikusan titkosítja az erőforrást az adatok védelme és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítése érdekében. Alapértelmezés szerint a Microsoft által felügyelt titkosítási kulcsokat használja a rendszer. A kulcsok kezelésének vagy az előfizetéshez való hozzáférés szabályozásának nagyobb rugalmassága érdekében válassza ki az ügyfél által felügyelt kulcsokat, más néven saját kulcsot (BYOK). További információ az Azure Bot Service titkosításáról: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. Naplózás, megtagadás, letiltva 1.0.1
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. Naplózás, megtagadás, letiltva 1.1.2
Fizikai kulcskezelési folyamat definiálása CMA_0115 – Fizikai kulcskezelési folyamat definiálása Manuális, Letiltva 1.1.0
Titkosítási használat definiálása CMA_0120 – Titkosítási használat meghatározása Manuális, Letiltva 1.1.0
A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása Manuális, Letiltva 1.1.0
A helyességi követelmények meghatározása CMA_0136 – A helyességi követelmények meghatározása Manuális, Letiltva 1.1.0
Az Event Hub-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure Event Hubs támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi az Event Hub által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy az Event Hub csak a dedikált fürtök névtereinek ügyfél által felügyelt kulcsaival támogatja a titkosítást. Naplózás, letiltva 1.0.0
A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. Naplózás, Letiltás, Megtagadás 2.0.0
Nyilvános kulcsú tanúsítványok kiállítása CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása Manuális, Letiltva 1.1.0
A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. Naplózás, megtagadás, letiltva 1.0.0
Szimmetrikus titkosítási kulcsok kezelése CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése Manuális, Letiltva 1.1.0
A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. Naplózás, megtagadás, letiltva 1.0.0
A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. AuditIfNotExists, Disabled 1.0.4
Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. Naplózás, megtagadás, letiltva 3.0.0
A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. AuditIfNotExists, Disabled 1.0.4
A titkos kulcsokhoz való hozzáférés korlátozása CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
A Service Bus Premium-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure Service Bus támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi a Service Bus által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy a Service Bus csak a prémium szintű névterek ügyfél által felügyelt kulcsaival támogatja a titkosítást. Naplózás, letiltva 1.0.0
A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. Naplózás, megtagadás, letiltva 2.0.0
Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. Naplózás, megtagadás, letiltva 2.0.1
A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. Naplózás, megtagadás, letiltva 1.0.0
A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. Naplózás, letiltva 1.0.3

Elérhetőség

Azonosító: FedRAMP High SC-12 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az információk rendelkezésre állásának fenntartása CMA_C1644 – Az információk rendelkezésre állásának fenntartása Manuális, Letiltva 1.1.0

Szimmetrikus kulcsok

Azonosító: FedRAMP High SC-12 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szimmetrikus titkosítási kulcsok létrehozása, vezérlése és elosztása CMA_C1645 – Szimmetrikus titkosítási kulcsok létrehozása, vezérlése és elosztása Manuális, Letiltva 1.1.0

Aszimmetrikus kulcsok

Azonosító: FedRAMP High SC-12 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Aszimmetrikus titkosítási kulcsok előállítása, vezérlése és terjesztése CMA_C1646 – Aszimmetrikus titkosítási kulcsok létrehozása, vezérlése és terjesztése Manuális, Letiltva 1.1.0

Titkosítási védelem

Azonosító: FedRAMP High SC-13 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Titkosítási használat definiálása CMA_0120 – Titkosítási használat meghatározása Manuális, Letiltva 1.1.0

Együttműködésen alapuló számítástechnikai eszközök

Azonosító: FedRAMP High SC-15 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése CMA_C1649 – Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése Manuális, Letiltva 1.1.1
Együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása CMA_C1648 – Az együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása Manuális, Letiltva 1.1.0

Nyilvános kulcsú infrastruktúratanúsítványok

Azonosító: FedRAMP High SC-17 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nyilvános kulcsú tanúsítványok kiállítása CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása Manuális, Letiltva 1.1.0

Mobilkód

Azonosító: FedRAMP High SC-18 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása CMA_C1653 – Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása Manuális, Letiltva 1.1.0
Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása CMA_C1651 – Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása Manuális, Letiltva 1.1.0
Használati korlátozások létrehozása mobilkód-technológiákhoz CMA_C1652 – Használati korlátozások létrehozása mobilkód-technológiákhoz Manuális, Letiltva 1.1.0

Voice Over Internet Protocol

Azonosító: FedRAMP High SC-19 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Voip engedélyezése, monitorozása és vezérlése CMA_0025 – A voip engedélyezése, monitorozása és vezérlése Manuális, Letiltva 1.1.0
Voip-használati korlátozások létrehozása CMA_0280 – Voip-használati korlátozások létrehozása Manuális, Letiltva 1.1.0

Biztonságos név/ címfeloldási szolgáltatás (mérvadó forrás)

Azonosító: FedRAMP High SC-20 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hibatűrő név-/címszolgáltatás implementálása CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása Manuális, Letiltva 1.1.0
Biztonságos név- és címfeloldási szolgáltatások biztosítása CMA_0416 – Biztonságos név- és címfeloldási szolgáltatások biztosítása Manuális, Letiltva 1.1.0

Biztonságos név/ címfeloldási szolgáltatás (Rekurzív vagy gyorsítótárazási feloldó)

Azonosító: FedRAMP High SC-21 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hibatűrő név-/címszolgáltatás implementálása CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása Manuális, Letiltva 1.1.0
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése Manuális, Letiltva 1.1.0

Architektúra és kiépítés a név/ címfeloldási szolgáltatás számára

Azonosító: FedRAMP High SC-22 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hibatűrő név-/címszolgáltatás implementálása CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása Manuális, Letiltva 1.1.0

Munkamenet-hitelesség

Azonosító: FedRAMP High SC-23 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére Manuális, Letiltva 1.1.0
Véletlenszerű egyedi munkamenet-azonosítók kényszerítése CMA_0247 – Véletlenszerű egyedi munkamenet-azonosítók kényszerítése Manuális, Letiltva 1.1.0

Munkamenet-azonosítók érvénytelenítése kijelentkezéskor

Azonosító: FedRAMP High SC-23 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Munkamenet-azonosítók érvénytelenítése kijelentkezéskor CMA_C1661 – Munkamenet-azonosítók érvénytelenítése a kijelentkezéskor Manuális, Letiltva 1.1.0

Sikertelenség ismert állapotban

Azonosító: FedRAMP High SC-24 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Győződjön meg arról, hogy az információs rendszer ismert állapotban meghiúsul CMA_C1662 – Győződjön meg arról, hogy az információs rendszer ismert állapotban meghiúsul Manuális, Letiltva 1.1.0

Az inaktív adatok védelme

Azonosító: FedRAMP High SC-28 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-környezetnek engedélyeznie kell a belső titkosítást Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . Naplózás, letiltva 1.0.1
Az Automation-fiók változóit titkosítani kell Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
A lemeztitkosítást engedélyezni kell az Azure Data Explorerben A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Naplózás, megtagadás, letiltva 2.0.0
A dupla titkosítást engedélyezni kell az Azure Data Explorerben A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. Naplózás, megtagadás, letiltva 2.0.0
Adatszivárgás-kezelési eljárás létrehozása CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása Manuális, Letiltva 1.1.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. Naplózás, megtagadás, letiltva 1.0.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal Naplózás, megtagadás, letiltva 1.0.0
Speciális információk védelme CMA_0409 – Speciális információk védelme Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen Naplózás, megtagadás, letiltva 1.1.0
A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. Naplózás, megtagadás, letiltva 1.0.1
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében AuditIfNotExists, Disabled 2.0.0
A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. Naplózás, megtagadás, letiltva 1.0.0

Titkosítási védelem

Azonosító: FedRAMP High SC-28 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-környezetnek engedélyeznie kell a belső titkosítást Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . Naplózás, letiltva 1.0.1
Az Automation-fiók változóit titkosítani kell Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
A lemeztitkosítást engedélyezni kell az Azure Data Explorerben A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Naplózás, megtagadás, letiltva 2.0.0
A dupla titkosítást engedélyezni kell az Azure Data Explorerben A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. Naplózás, megtagadás, letiltva 2.0.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. Naplózás, megtagadás, letiltva 1.0.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal Naplózás, megtagadás, letiltva 1.0.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen Naplózás, megtagadás, letiltva 1.1.0
A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. Naplózás, megtagadás, letiltva 1.0.1
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében AuditIfNotExists, Disabled 2.0.0
A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. Naplózás, megtagadás, letiltva 1.0.0

Folyamatelkülönítés

Azonosító: FedRAMP High SC-39 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Különálló végrehajtási tartományok karbantartása folyamatok futtatásához CMA_C1665 – Különálló végrehajtási tartományok fenntartása folyamatok futtatásához Manuális, Letiltva 1.1.0

Rendszer- és információintegritás

Rendszer- és információintegritási szabályzat és eljárások

Azonosító: FedRAMP High SI-1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információintegritási szabályzatok és eljárások áttekintése és frissítése CMA_C1667 – Információintegritási szabályzatok és eljárások áttekintése és frissítése Manuális, Letiltva 1.1.0

Hiba szervizelése

Id: FedRAMP High SI-2 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 4.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
A függvényalkalmazások a legújabb HTTP-verziót használják Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 4.0.0
Hibaelhárítás beépítése a konfigurációkezelésbe CMA_C1671 – Hibaelhárítás beépítése a konfigurációkezelésbe Manuális, Letiltva 1.1.0
A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában Naplózás, letiltva 1.0.2
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. AuditIfNotExists, Disabled 4.1.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat AuditIfNotExists, Disabled 3.1.0

Automatikus hibajavító állapot

Azonosító: FedRAMP High SI-2 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hibák szervizelésének automatizálása CMA_0027 – Hibák szervizelésének automatizálása Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0

Hibák szervizelésének ideje / Korrekciós műveletek teljesítménymutatói

Azonosító: FedRAMP High SI-2 (3) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Teljesítménymutatók létrehozása a hibák szervizeléséhez CMA_C1675 – Teljesítménymutatók létrehozása a hibák szervizeléséhez Manuális, Letiltva 1.1.0
A hibák azonosítása és a hibák szervizelése közötti idő mérése CMA_C1674 – A hibák azonosítása és a hibák szervizelése közötti idő mérése Manuális, Letiltva 1.1.0

Rosszindulatú kódvédelem

Id: FedRAMP High SI-3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Veszélyforrások elleni védelem állapotának heti áttekintése CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Központi felügyelet

Azonosító: FedRAMP High SI-3 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Automatikus frissítések

Azonosító: FedRAMP High SI-3 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0

Nem aláírásalapú észlelés

Azonosító: FedRAMP High SI-3 (7) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0

Információs rendszer monitorozása

Id: FedRAMP High SI-4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Jogi vélemény beszerzése a rendszertevékenységek monitorozásához CMA_C1688 – Jogi vélemény beszerzése a rendszertevékenységek monitorozásához Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Monitorozási információk megadása szükség szerint CMA_C1689 – Szükség esetén monitorozási információk megadása Manuális, Letiltva 1.1.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Automatizált eszközök valós idejű elemzéshez

Azonosító: FedRAMP High SI-4 (2) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági műveletek dokumentálása CMA_0202 – Biztonsági műveletek dokumentálása Manuális, Letiltva 1.1.0
Érzékelők bekapcsolása végpontbiztonsági megoldáshoz CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz Manuális, Letiltva 1.1.0

Bejövő és kimenő kommunikációs forgalom

Azonosító: FedRAMP High SI-4 (4) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Voip engedélyezése, monitorozása és vezérlése CMA_0025 – A voip engedélyezése, monitorozása és vezérlése Manuális, Letiltva 1.1.0
Rendszerhatárvédelem implementálása CMA_0328 – Rendszerhatárvédelem megvalósítása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül CMA_0484 – Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül Manuális, Letiltva 1.1.0

Rendszer által generált riasztások

Azonosító: FedRAMP High SI-4 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Riasztási személyzet az információk kiömlése miatt CMA_0007 – Az információk kiömlésének riasztása Manuális, Letiltva 1.1.0
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben Manuális, Letiltva 1.1.0

Vezeték nélküli behatolás észlelése

Id: FedRAMP High SI-4 (14) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezeték nélküli hozzáférés biztonsági vezérlőinek dokumentálása CMA_C1695 – A vezeték nélküli hozzáférés biztonsági vezérlőinek dokumentálása Manuális, Letiltva 1.1.0

Jogosulatlan hálózati szolgáltatások

Id: FedRAMP High SI-4 (22) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése Manuális, Letiltva 1.1.0

A biztonsági rések mutatói

Id: FedRAMP High SI-4 (24) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonsági rések bármilyen jelzésének felderítése CMA_C1702 – A biztonsági rések bármilyen jelzésének felderítése Manuális, Letiltva 1.1.0

Biztonsági riasztások, tanácsadások és irányelvek

Id: FedRAMP High SI-5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági riasztások terjesztése a személyzet számára CMA_C1705 – Biztonsági riasztások terjesztése a személyzet számára Manuális, Letiltva 1.1.0
Fenyegetésfelderítési program létrehozása CMA_0260 – Fenyegetésfelderítési program létrehozása Manuális, Letiltva 1.1.0
Belső biztonsági riasztások létrehozása CMA_C1704 – Belső biztonsági riasztások létrehozása Manuális, Letiltva 1.1.0
Biztonsági irányelvek implementálása CMA_C1706 – Biztonsági irányelvek végrehajtása Manuális, Letiltva 1.1.0

Automatizált riasztások és tanácsadások

Azonosító: FedRAMP High SI-5 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Automatikus mechanizmusok használata biztonsági riasztásokhoz CMA_C1707 – Automatikus mechanizmusok használata biztonsági riasztásokhoz Manuális, Letiltva 1.1.0

Biztonsági függvény ellenőrzése

Id: FedRAMP High SI-6 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Alternatív műveletek létrehozása azonosított anomáliákhoz CMA_C1711 – Alternatív műveletek létrehozása azonosított anomáliákhoz Manuális, Letiltva 1.1.0
Értesítse a személyzetet a sikertelen biztonsági ellenőrző tesztekről CMA_C1710 – A személyzet értesítése a sikertelen biztonsági ellenőrző tesztekről Manuális, Letiltva 1.1.0
Biztonsági függvény ellenőrzése meghatározott gyakorisággal CMA_C1709 – Biztonsági függvény ellenőrzése meghatározott gyakorisággal Manuális, Letiltva 1.1.0
Biztonsági függvények ellenőrzése CMA_C1708 – Biztonsági függvények ellenőrzése Manuális, Letiltva 1.1.0

Szoftver, belső vezérlőprogram és információintegritás

Id: FedRAMP High SI-7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése Manuális, Letiltva 1.1.0

Integritás-ellenőrzések

Azonosító: FedRAMP High SI-7 (1) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése Manuális, Letiltva 1.1.0
Rendszerdiagnosztikai adatok megtekintése és konfigurálása CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása Manuális, Letiltva 1.1.0

Automatikus válasz integritási szabálysértésekre

Azonosító: FedRAMP High SI-7 (5) Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Automatikus leállítás/újraindítás alkalmazása szabálysértések észlelésekor CMA_C1715 – Automatikus leállítás/újraindítás alkalmazása szabálysértések észlelésekor Manuális, Letiltva 1.1.0

Bináris vagy gépi végrehajtható kód

Id: FedRAMP High SI-7 (14) Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Bináris/gép által végrehajtható kód tiltása CMA_C1717 – Bináris/gép által végrehajtható kód tiltása Manuális, Letiltva 1.1.0

Információbevitel ellenőrzése

Azonosító: FedRAMP High SI-10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Adatbeviteli ellenőrzés végrehajtása CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása Manuális, Letiltva 1.1.0

Hibakezelés

Azonosító: FedRAMP High SI-11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hibaüzenetek létrehozása CMA_C1724 – Hibaüzenetek létrehozása Manuális, Letiltva 1.1.0
Hibaüzenetek megjelenítése CMA_C1725 – Hibaüzenetek megjelenítése Manuális, Letiltva 1.1.0

Információkezelés és -megőrzés

Azonosító: FedRAMP High SI-12 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése Manuális, Letiltva 1.1.0
Címketevékenység és -elemzés áttekintése CMA_0474 – Címketevékenység és -elemzés áttekintése Manuális, Letiltva 1.1.0

Memóriavédelem

Id: FedRAMP High SI-16 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Következő lépések

További cikkek az Azure Policyról: