Megosztás a következőn keresztül:


A NIST SP 800-171 R2 szabályozási megfelelőség beépített kezdeményezésének részletei

Az alábbi cikk azt ismerteti, hogyan képezi le az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója a megfelelőségi tartományokra és -vezérlőkre az NIST SP 800-171 R2-ben. A megfelelőségi szabványról további információt az NIST SP 800-171 R2-ben talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.

A következő leképezések az NIST SP 800-171 R2 vezérlőihez tartoznak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az NIST SP 800-171 Rev. 2 szabályozási megfelelőség beépített kezdeményezési definícióját.

Fontos

Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.

Hozzáférés-vezérlés

Korlátozza a rendszer hozzáférését a jogosult felhasználókhoz, a jogosult felhasználók nevében eljáró folyamatokhoz és az eszközökhöz (beleértve az egyéb rendszereket is).

Azonosító: NIST SP 800-171 R2 3.1.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. AuditIfNotExists, Disabled 3.0.0
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból AuditIfNotExists, Disabled 3.1.0
Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal AuditIfNotExists, Disabled 3.1.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
Információsrendszer-fióktípusok definiálása CMA_0121 – Információsrendszer-fióktípusok definiálása Manuális, Letiltva 1.1.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. AuditIfNotExists, Disabled 1.0.0
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

Egy megadott feltétel után (automatikusan) fejezheti be a felhasználói munkamenetet.

Azonosító: NIST SP 800-171 R2 3.1.11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználói munkamenet automatikus megszakítása CMA_C1054 – A felhasználói munkamenet automatikus megszakítása Manuális, Letiltva 1.1.0

Távelérési munkamenetek monitorozása és vezérlése.

Azonosító: NIST SP 800-171 R2 3.1.12 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból AuditIfNotExists, Disabled 3.1.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Hozzáférés figyelése a szervezeten belül CMA_0376 – Hozzáférés figyelése a szervezeten belül Manuális, Letiltva 1.1.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

Titkosítási mechanizmusokat alkalmazhat a távelérési munkamenetek titkosságának védelmére.

Azonosító: NIST SP 800-171 R2 3.1.13 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről Manuális, Letiltva 1.1.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

A távelérés irányítása felügyelt hozzáférés-vezérlési pontokon keresztül.

Azonosító: NIST SP 800-171 R2 3.1.14 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Spring Cloudnak hálózati injektálást kell használnia Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. Naplózás, Letiltás, Megtagadás 1.2.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül CMA_0484 – Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül Manuális, Letiltva 1.1.0
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

A kiemelt parancsok távoli végrehajtásának engedélyezése és a biztonsággal kapcsolatos információkhoz való távoli hozzáférés engedélyezése.

Azonosító: NIST SP 800-171 R2 3.1.15 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
A kiemelt parancsokhoz való távoli hozzáférés engedélyezése CMA_C1064 – A kiemelt parancsokhoz való távoli hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Dokumentum távelérési irányelvei CMA_0196 – Dokumentum távelérési irányelvei Manuális, Letiltva 1.1.0
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez Manuális, Letiltva 1.1.0
Adatvédelmi képzés biztosítása CMA_0415 – Adatvédelmi képzés biztosítása Manuális, Letiltva 1.1.0

Vezeték nélküli hozzáférés engedélyezése az ilyen kapcsolatok engedélyezése előtt

Azonosító: NIST SP 800-171 R2 3.1.16 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása Manuális, Letiltva 1.1.0
Vezeték nélküli hozzáférés védelme CMA_0411 – Vezeték nélküli hozzáférés védelme Manuális, Letiltva 1.1.0

A vezeték nélküli hozzáférés védelme hitelesítéssel és titkosítással

Azonosító: NIST SP 800-171 R2 3.1.17 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása Manuális, Letiltva 1.1.0
Hálózati eszközök azonosítása és hitelesítése CMA_0296 – Hálózati eszközök azonosítása és hitelesítése Manuális, Letiltva 1.1.0
Vezeték nélküli hozzáférés védelme CMA_0411 – Vezeték nélküli hozzáférés védelme Manuális, Letiltva 1.1.0

A mobileszközök kapcsolatának szabályozása.

Azonosító: NIST SP 800-171 R2 3.1.18 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobileszköz-követelmények meghatározása CMA_0122 – Mobileszköz-követelmények meghatározása Manuális, Letiltva 1.1.0

CUI titkosítása mobileszközökön és mobil számítástechnikai platformokon

Azonosító: NIST SP 800-171 R2 3.1.19 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobileszköz-követelmények meghatározása CMA_0122 – Mobileszköz-követelmények meghatározása Manuális, Letiltva 1.1.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0

Korlátozza a rendszer hozzáférését azokhoz a tranzakciókhoz és függvényekhez, amelyek végrehajtására jogosult felhasználók jogosultak.

Azonosító: NIST SP 800-171 R2 3.1.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Hozzáférés engedélyezése és kezelése CMA_0023 – Hozzáférés engedélyezése és kezelése Manuális, Letiltva 1.1.0
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
Az összes fiók megfelelő használatának kényszerítése CMA_C1023 – Az összes fiók megfelelő használatának kényszerítése Manuális, Letiltva 1.1.0
Logikai hozzáférés kényszerítése CMA_0245 – Logikai hozzáférés kényszerítése Manuális, Letiltva 1.1.0
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. AuditIfNotExists, Disabled 1.0.0
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. AuditIfNotExists, Disabled 1.0.0
Kiemelt szerepkör-hozzárendelés figyelése CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése Manuális, Letiltva 1.1.0
Jóváhagyás megkövetelése fióklétrehozáshoz CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel Manuális, Letiltva 1.1.0
A kiemelt szerepkörök visszavonása a megfelelő módon CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0
Emelt szintű identitáskezelés használata CMA_0533 – Emelt szintű identitáskezelés használata Manuális, Letiltva 1.1.0
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Naplózás, megtagadás, letiltva 1.0.0

Külső rendszerek kapcsolatainak ellenőrzése és szabályozása/korlátozása.

Azonosító: NIST SP 800-171 R2 3.1.20 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az erőforrások elérésére vonatkozó feltételek és feltételek létrehozása CMA_C1076 – Az erőforrásokhoz való hozzáférés feltételeinek és feltételeinek meghatározása Manuális, Letiltva 1.1.0
Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása CMA_C1077 – Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása Manuális, Letiltva 1.1.0

A hordozható tárolóeszközök használatának korlátozása külső rendszereken.

Azonosító: NIST SP 800-171 R2 3.1.21 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Nyilvánosan elérhető rendszereken közzétett vagy feldolgozott CUI vezérlése.

Azonosító: NIST SP 800-171 R2 3.1.22 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése CMA_C1083 – A nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése Manuális, Letiltva 1.1.0
Tartalom áttekintése nyilvánosan elérhető információk közzététele előtt CMA_C1085 – Tartalom áttekintése a nyilvánosan elérhető információk közzététele előtt Manuális, Letiltva 1.1.0
Nyilvánosan elérhető tartalom áttekintése nem nyilvános információkért CMA_C1086 – Nyilvánosan elérhető tartalmak áttekintése nem nyilvános információkért Manuális, Letiltva 1.1.0
Betanítsa a személyzetet a nem nyilvános információk közzétételére CMA_C1084 – Személyzet betanítása a nem nyilvános információk közzétételére Manuális, Letiltva 1.1.0

A CUI folyamatának szabályozása a jóváhagyott engedélyekkel összhangban.

Azonosító: NIST SP 800-171 R2 3.1.3 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. AuditIfNotExists, Disabled 2.0.0
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
Információáramlás szabályozása CMA_0079 – Az információáramlás szabályozása Manuális, Letiltva 1.1.0
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása Manuális, Letiltva 1.1.0
Tűzfal- és útválasztókonfigurációs szabványok létrehozása CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása Manuális, Letiltva 1.1.0
Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez Manuális, Letiltva 1.1.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Alsóbb rétegbeli információcsere azonosítása és kezelése CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése Manuális, Letiltva 1.1.0
Információáramlás-vezérlés biztonsági szabályzatszűrők használatával CMA_C1029 – Információáramlás-vezérlés biztonsági szabályzatszűrők használatával Manuális, Letiltva 1.1.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0

Különítse el az egyének feladatait, hogy az összejátszás nélkül csökkentse a rosszindulatú tevékenység kockázatát.

Azonosító: NIST SP 800-171 R2 3.1.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A Rendszergazdák csoport egyik megadott tagját nem futtató Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. auditIfNotExists 2.0.0
A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. auditIfNotExists 2.0.0
Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatásához CMA_0116 – Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatására Manuális, Letiltva 1.1.0
A feladatok elkülönítésének dokumentálása CMA_0204 – A feladatok elkülönítésének dokumentálása Manuális, Letiltva 1.1.0
Az egyének feladatainak elkülönítése CMA_0492 – A magánszemélyek feladatainak elkülönítése Manuális, Letiltva 1.1.0
Az előfizetéshez egynél több tulajdonosnak kell tartoznia Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. AuditIfNotExists, Disabled 3.0.0

Alkalmazza a minimális jogosultság elvét, beleértve az adott biztonsági függvényeket és a kiemelt fiókokat is.

Azonosító: NIST SP 800-171 R2 3.1.5 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. AuditIfNotExists, Disabled 3.0.0
Egyéni RBAC-szerepkörök használatának naplózása Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel Naplózás, letiltva 1.0.1
Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése Manuális, Letiltva 1.1.0
Hozzáférés engedélyezése és kezelése CMA_0023 – Hozzáférés engedélyezése és kezelése Manuális, Letiltva 1.1.0
Hozzáférés-vezérlési modell tervezése CMA_0129 – Hozzáférés-vezérlési modell tervezése Manuális, Letiltva 1.1.0
Minimális jogosultsági hozzáférés alkalmazása CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása Manuális, Letiltva 1.1.0
Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0

Megakadályozza, hogy a nem kiemelt felhasználók kiemelt függvényeket hajtanak végre, és rögzítsék az ilyen függvények végrehajtását az auditnaplókban.

Azonosító: NIST SP 800-171 R2 3.1.7 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Naplózott emelt szintű parancsok teljes szöveges elemzése CMA_0056 – Naplózott kiemelt parancsok teljes szöveges elemzése Manuális, Letiltva 1.1.0
Kiemelt szerepkör-hozzárendelés figyelése CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése Manuális, Letiltva 1.1.0
Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
A kiemelt szerepkörök visszavonása a megfelelő módon CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása Manuális, Letiltva 1.1.0
Emelt szintű identitáskezelés használata CMA_0533 – Emelt szintű identitáskezelés használata Manuális, Letiltva 1.1.0

Korlátozza a sikertelen bejelentkezési kísérleteket.

Azonosító: NIST SP 800-171 R2 3.1.8 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése CMA_C1044 – Az egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése Manuális, Letiltva 1.1.0

Fizikai védelem

Korlátozza a szervezeti rendszerekhez, berendezésekhez és a megfelelő üzemeltetési környezetekhez való fizikai hozzáférést az arra jogosult személyek számára.

Azonosító: NIST SP 800-171 R2 3.10.1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0

A fizikai létesítmény és a szervezeti rendszerek támogatási infrastruktúrájának védelme és monitorozása.

Azonosító: NIST SP 800-171 R2 3.10.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Riasztórendszer telepítése CMA_0338 – Riasztórendszer telepítése Manuális, Letiltva 1.1.0
Biztonságos térfigyelő kamerarendszer kezelése CMA_0354 – Biztonságos térfigyelő kamerarendszer kezelése Manuális, Letiltva 1.1.0

Kísérje a látogatókat, és figyelje a látogatói tevékenységet.

Azonosító: NIST SP 800-171 R2 3.10.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

A fizikai hozzáférés naplózási naplóinak karbantartása.

Azonosító: NIST SP 800-171 R2 3.10.4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0

Fizikai hozzáférési eszközök felügyelete és kezelése.

Azonosító: NIST SP 800-171 R2 3.10.5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Fizikai hozzáférés szabályozása CMA_0081 – Fizikai hozzáférés szabályozása Manuális, Letiltva 1.1.0
Fizikai kulcskezelési folyamat definiálása CMA_0115 – Fizikai kulcskezelési folyamat definiálása Manuális, Letiltva 1.1.0
Eszközleltár létrehozása és karbantartása CMA_0266 – Eszközleltár létrehozása és karbantartása Manuális, Letiltva 1.1.0
Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása Manuális, Letiltva 1.1.0

A CUI-ra vonatkozó védelmi intézkedések kényszerítése alternatív munkaterületeken.

Azonosító: NIST SP 800-171 R2 3.10.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez Manuális, Letiltva 1.1.0

Kockázatértékelés

A szervezeti műveletek, a szervezeti eszközök és az egyének kockázatának rendszeres felmérése, amely a szervezeti rendszerek működéséből, valamint a CUI kapcsolódó feldolgozásából, tárolásából vagy továbbításából ered

Azonosító: NIST SP 800-171 R2 3.11.1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kockázat felmérése harmadik fél kapcsolataiban CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0

Rendszeresen vizsgálja meg a szervezeti rendszerek és alkalmazások biztonsági réseit, és ha új, az adott rendszereket és alkalmazásokat érintő biztonsági rések vannak azonosítva.

Azonosító: NIST SP 800-171 R2 3.11.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Kiemelt hozzáférés implementálása a biztonságirés-ellenőrzési tevékenységek végrehajtásához CMA_C1555 – Kiemelt hozzáférés megvalósítása a biztonságirés-ellenőrzési tevékenységek végrehajtásához Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. AuditIfNotExists, Disabled 4.1.0
A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. AuditIfNotExists, Disabled 1.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat AuditIfNotExists, Disabled 3.1.0
A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 1.0.1
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 3.0.0
A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. AuditIfNotExists, Disabled 1.0.0

A biztonsági rések elhárítása a kockázatértékelésekkel összhangban.

Azonosító: NIST SP 800-171 R2 3.11.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. AuditIfNotExists, Disabled 4.1.0
A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. AuditIfNotExists, Disabled 1.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat AuditIfNotExists, Disabled 3.1.0
A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 1.0.1
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. AuditIfNotExists, Disabled 3.0.0
A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. AuditIfNotExists, Disabled 1.0.0

Biztonsági értékelés

A szervezeti rendszerek biztonsági vezérlőinek rendszeres felmérése annak megállapításához, hogy a vezérlők hatékonyak-e az alkalmazásukban.

Azonosító: NIST SP 800-171 R2 3.12.1 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági vezérlők értékelése CMA_C1145 – Biztonsági vezérlők értékelése Manuális, Letiltva 1.1.0
Biztonsági értékelés eredményeinek átadása CMA_C1147 – Biztonsági értékelés eredményeinek átadása Manuális, Letiltva 1.1.0
Biztonsági felmérési terv kidolgozása CMA_C1144 – Biztonsági értékelési terv kidolgozása Manuális, Letiltva 1.1.0
Biztonsági felmérési jelentés készítése CMA_C1146 – Biztonsági felmérési jelentés készítése Manuális, Letiltva 1.1.0

Cselekvési tervek kidolgozása és megvalósítása, amelyek célja a hiányosságok javítása, valamint a szervezeti rendszerek biztonsági réseinek csökkentése vagy megszüntetése.

Azonosító: NIST SP 800-171 R2 3.12.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
POA&M fejlesztése CMA_C1156 – POA&M fejlesztése Manuális, Letiltva 1.1.0
Kockázatkezelési stratégia létrehozása CMA_0258 – Kockázatkezelési stratégia létrehozása Manuális, Letiltva 1.1.0
Cselekvési tervek és mérföldkövek megvalósítása a biztonsági programfolyamathoz CMA_C1737 – Cselekvési tervek és mérföldkövek megvalósítása a biztonsági programok folyamatához Manuális, Letiltva 1.1.0
POA&M-elemek frissítése CMA_C1157 – POA&M-elemek frissítése Manuális, Letiltva 1.1.0

A biztonsági vezérlők folyamatos monitorozása a vezérlők folyamatos hatékonyságának biztosítása érdekében.

Azonosító: NIST SP 800-171 R2 3.12.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Észlelési engedélyezési lista konfigurálása CMA_0068 – Észlelési engedélyezési lista konfigurálása Manuális, Letiltva 1.1.0
Érzékelők bekapcsolása végpontbiztonsági megoldáshoz CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz Manuális, Letiltva 1.1.0
Független biztonsági felülvizsgálaton megy keresztül CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül Manuális, Letiltva 1.1.0

Rendszerbiztonsági terveket fejleszthet, dokumentálhat és rendszeres időközönként frissíthet, amelyek leírják a rendszer határait, a rendszer működési környezeteit, a biztonsági követelmények megvalósításának módját, valamint a más rendszerekkel való kapcsolatokat vagy kapcsolatokat.

Azonosító: NIST SP 800-171 R2 3.12.4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerbiztonsági terv kidolgozása és létrehozása CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok és eljárások fejlesztése CMA_0158 – Információbiztonsági szabályzatok és eljárások fejlesztése Manuális, Letiltva 1.1.0
Feltételeknek megfelelő SSP fejlesztése CMA_C1492 – Feltételeknek megfelelő SSP fejlesztése Manuális, Letiltva 1.1.0
Adatvédelmi program létrehozása CMA_0257 – Adatvédelmi program létrehozása Manuális, Letiltva 1.1.0
Információbiztonsági program létrehozása CMA_0263 – Információbiztonsági program létrehozása Manuális, Letiltva 1.1.0
A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása Manuális, Letiltva 1.1.0
Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása Manuális, Letiltva 1.1.0
Információbiztonsági szabályzatok frissítése CMA_0518 – Információbiztonsági szabályzatok frissítése Manuális, Letiltva 1.1.0

System and Communications Protection

A kommunikáció (azaz a szervezeti rendszerek által továbbított vagy fogadott információk) figyelése, ellenőrzése és védelme a szervezeti rendszerek külső határain és legfontosabb belső határain.

Azonosító: NIST SP 800-171 R2 3.13.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

A szervezeti rendszerekben alkalmazott titkosítási kulcsok létrehozása és kezelése.

Azonosító: NIST SP 800-171 R2 3.13.10 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. Naplózás, megtagadás, letiltva 1.0.0-előzetes verzió
[Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. Naplózás, megtagadás, letiltva 1.0.0-előzetes verzió
Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. Naplózás, megtagadás, letiltva 2.2.0
Az Azure API for FHIR-nek ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat Az ügyfél által kezelt kulccsal szabályozhatja a titkosítást az Azure API for FHIR-ben tárolt többi adatnál, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. naplózás, naplózás, letiltva, Letiltva 1.1.0
Az Azure Automation-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Automation-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/automation-cmk. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Batch-fióknak ügyfél által felügyelt kulcsokat kell használnia az adatok titkosításához Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Batch-fiók adatainak többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/Batch-CMK. Naplózás, megtagadás, letiltva 1.0.1
Az Azure Container Instance tárolócsoportjának ügyfél által felügyelt kulcsot kell használnia a titkosításhoz Az ügyfél által felügyelt kulcsokkal nagyobb rugalmassággal védheti a tárolókat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. Naplózás, Letiltás, Megtagadás 1.0.0
Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Data Box-feladatoknak egy ügyfél által felügyelt kulccsal kell titkosítaniuk az eszköz feloldási jelszavát Ügyfél által felügyelt kulccsal szabályozhatja az eszköz feloldási jelszavának titkosítását az Azure Data Boxhoz. Az ügyfél által felügyelt kulcsok a Data Box szolgáltatás által az eszköz feloldási jelszavához való hozzáférést is kezelik az eszköz előkészítése és az adatok automatikus másolása érdekében. Az eszközön lévő adatok már inaktív állapotban vannak titkosítva az Advanced Encryption Standard 256 bites titkosítással, és az eszköz feloldási jelszava alapértelmezés szerint egy Microsoft által felügyelt kulccsal van titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. Naplózás, megtagadás, letiltva 1.0.0
Az Azure-adatgyárakat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Data Factory többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/adf-cmk. Naplózás, megtagadás, letiltva 1.0.1
Az Azure HDInsight-fürtöknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure HDInsight-fürtök többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/hdi.cmk. Naplózás, megtagadás, letiltva 1.0.1
Az Azure HDInsight-fürtöknek titkosítást kell használniuk a gazdagépen az inaktív adatok titkosításához A gazdagépen történő titkosítás engedélyezése segít megvédeni és védeni az adatokat, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. Naplózás, megtagadás, letiltva 1.1.0
Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. Naplózás, megtagadás, letiltva 1.0.0
A Bot Service-t ügyfél által felügyelt kulccsal kell titkosítani Az Azure Bot Service automatikusan titkosítja az erőforrást az adatok védelme és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítése érdekében. Alapértelmezés szerint a Microsoft által felügyelt titkosítási kulcsokat használja a rendszer. A kulcsok kezelésének vagy az előfizetéshez való hozzáférés szabályozásának nagyobb rugalmassága érdekében válassza ki az ügyfél által felügyelt kulcsokat, más néven saját kulcsot (BYOK). További információ az Azure Bot Service titkosításáról: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. Naplózás, megtagadás, letiltva 1.0.1
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. Naplózás, megtagadás, letiltva 1.1.2
Fizikai kulcskezelési folyamat definiálása CMA_0115 – Fizikai kulcskezelési folyamat definiálása Manuális, Letiltva 1.1.0
Titkosítási használat definiálása CMA_0120 – Titkosítási használat meghatározása Manuális, Letiltva 1.1.0
A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása Manuális, Letiltva 1.1.0
A helyességi követelmények meghatározása CMA_0136 – A helyességi követelmények meghatározása Manuális, Letiltva 1.1.0
Az Event Hub-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure Event Hubs támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi az Event Hub által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy az Event Hub csak a dedikált fürtök névtereinek ügyfél által felügyelt kulcsaival támogatja a titkosítást. Naplózás, letiltva 1.0.0
A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. Naplózás, Letiltás, Megtagadás 2.0.0
Nyilvános kulcsú tanúsítványok kiállítása CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása Manuális, Letiltva 1.1.0
A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. Naplózás, megtagadás, letiltva 1.0.0
Szimmetrikus titkosítási kulcsok kezelése CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése Manuális, Letiltva 1.1.0
A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. Naplózás, megtagadás, letiltva 1.0.0
A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. AuditIfNotExists, Disabled 1.0.4
Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. Naplózás, megtagadás, letiltva 3.0.0
A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. AuditIfNotExists, Disabled 1.0.4
A titkos kulcsokhoz való hozzáférés korlátozása CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása Manuális, Letiltva 1.1.0
Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
A Service Bus Premium-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz Az Azure Service Bus támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi a Service Bus által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy a Service Bus csak a prémium szintű névterek ügyfél által felügyelt kulcsaival támogatja a titkosítást. Naplózás, letiltva 1.0.0
A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. Naplózás, megtagadás, letiltva 2.0.0
Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. Naplózás, megtagadás, letiltva 2.0.1
A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. Naplózás, megtagadás, letiltva 1.0.0
A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. Naplózás, letiltva 1.0.3

A CUI titkosságának védelme érdekében FIPS által ellenőrzött titkosítást használjon.

Azonosító: NIST SP 800-171 R2 3.13.11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Titkosítási használat definiálása CMA_0120 – Titkosítási használat meghatározása Manuális, Letiltva 1.1.0

Az együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása és az eszközön található felhasználók számára használt eszközök jelzése

Azonosító: NIST SP 800-171 R2 3.13.12 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése CMA_C1649 – Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése Manuális, Letiltva 1.1.1
Együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása CMA_C1648 – Az együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása Manuális, Letiltva 1.1.0

A mobilkód használatának szabályozása és monitorozása.

Azonosító: NIST SP 800-171 R2 3.13.13 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása CMA_C1653 – Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása Manuális, Letiltva 1.1.0
Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása CMA_C1651 – Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása Manuális, Letiltva 1.1.0
Használati korlátozások létrehozása mobilkód-technológiákhoz CMA_C1652 – Használati korlátozások létrehozása mobilkód-technológiákhoz Manuális, Letiltva 1.1.0

A Voice over Internet Protocol (VoIP) technológiák használatának szabályozása és monitorozása.

Azonosító: NIST SP 800-171 R2 3.13.14 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Voip engedélyezése, monitorozása és vezérlése CMA_0025 – A voip engedélyezése, monitorozása és vezérlése Manuális, Letiltva 1.1.0
Voip-használati korlátozások létrehozása CMA_0280 – Voip-használati korlátozások létrehozása Manuális, Letiltva 1.1.0

A kommunikációs munkamenetek hitelességének védelme.

Azonosító: NIST SP 800-171 R2 3.13.15 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére Manuális, Letiltva 1.1.0
Véletlenszerű egyedi munkamenet-azonosítók kényszerítése CMA_0247 – Véletlenszerű egyedi munkamenet-azonosítók kényszerítése Manuális, Letiltva 1.1.0

A CUI inaktív állapotban lévő bizalmasságának védelme.

Azonosító: NIST SP 800-171 R2 3.13.16 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-környezetnek engedélyeznie kell a belső titkosítást Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . Naplózás, letiltva 1.0.1
Az Automation-fiók változóit titkosítani kell Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 1.1.0
A lemeztitkosítást engedélyezni kell az Azure Data Explorerben A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Naplózás, megtagadás, letiltva 2.0.0
A dupla titkosítást engedélyezni kell az Azure Data Explorerben A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. Naplózás, megtagadás, letiltva 2.0.0
Adatszivárgás-kezelési eljárás létrehozása CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. Naplózás, megtagadás, letiltva 1.0.0
Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal Naplózás, megtagadás, letiltva 1.0.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0
Speciális információk védelme CMA_0409 – Speciális információk védelme Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen Naplózás, megtagadás, letiltva 1.1.0
A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. Naplózás, megtagadás, letiltva 1.0.1
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében AuditIfNotExists, Disabled 2.0.0
A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. Naplózás, megtagadás, letiltva 1.0.0

Architektúraterveket, szoftverfejlesztési technikákat és rendszermérnöki alapelveket alkalmazhat, amelyek elősegítik a hatékony információbiztonságot a szervezeti rendszereken belül.

Azonosító: NIST SP 800-171 R2 3.13.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

A felhasználói funkciók elkülönítése a rendszerfelügyeleti funkcióktól.

Azonosító: NIST SP 800-171 R2 3.13.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távelérés engedélyezése CMA_0024 – Távelérés engedélyezése Manuális, Letiltva 1.1.0
Felhasználó- és információsrendszer-kezelési funkciók elkülönítése CMA_0493 – A felhasználói és információs rendszer felügyeleti funkcióinak elkülönítése Manuális, Letiltva 1.1.0
Dedikált gépek használata felügyeleti feladatokhoz CMA_0527 – Dedikált gépek használata rendszergazdai feladatokhoz Manuális, Letiltva 1.1.0

Alhálózatok implementálása nyilvánosan elérhető rendszerösszetevőkhöz, amelyek fizikailag vagy logikailag elkülönülnek a belső hálózatoktól.

Azonosító: NIST SP 800-171 R2 3.13.5 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, letiltva 1.0.1-elavult
[Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. Naplózás, letiltva 3.0.1-elavult
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. Naplózás, megtagadás, letiltva 1.0.2
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure API for FHIR-nek privát hivatkozást kell használnia Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. Naplózás, letiltva 1.0.0
Az Azure Cache for Redisnek privát hivatkozást kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Data Factorynek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. Naplózás, letiltva 1.0.2
Az Azure File Syncnek privát hivatkozást kell használnia Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. AuditIfNotExists, Disabled 1.0.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Az Azure Key Vaultsnak privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Naplózás, letiltva 1.0.0
Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. Naplózás, letiltva 1.0.0
Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Naplózás, letiltva 1.0.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
Az Azure Web PubSub Service-nek privát hivatkozást kell használnia Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. Naplózás, letiltva 1.0.0
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A CosmosDB-fiókoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Naplózás, letiltva 1.0.0
A lemezelérési erőforrásoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Az Event Hub-névtereknek privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. Naplózás, letiltva 1.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. AuditIfNotExists, Disabled 1.0.2
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
A tárfiókok privát hivatkozást használnak Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltás, Megtagadás 1.1.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

Alapértelmezés szerint tiltsa le a hálózati kommunikáció forgalmát, és engedélyezze a hálózati kommunikációs forgalmat kivétel szerint (azaz az összes megtagadása, a kivétel szerinti engedélyezés).

Azonosító: NIST SP 800-171 R2 3.13.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 3.1.0-előzetes verzió
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. Naplózás, megtagadás, letiltva 3.2.0
Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.1.0
Az Azure Key Vaultnak engedélyeznie kell a tűzfalat Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1
Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 1.0.2
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Naplózás, megtagadás, letiltva 2.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
A felügyeleti portokat be kell zárni a virtuális gépeken A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. AuditIfNotExists, Disabled 3.0.0
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 1.1.0
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. Naplózás, megtagadás, letiltva 2.0.0
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Naplózás, megtagadás, letiltva 2.0.1
A tárfiókok számára korlátozni kell a hálózati hozzáférést A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. Naplózás, megtagadás, letiltva 1.0.1
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. Naplózás, megtagadás, letiltva 2.0.0

Megakadályozza, hogy a távoli eszközök egyidejűleg ne létesíthessenek nem távoli kapcsolatokat a szervezeti rendszerekkel, és más kapcsolaton keresztül kommunikáljanak a külső hálózatok erőforrásaival (pl. osztott bújtatás).

Azonosító: NIST SP 800-171 R2 3.13.7 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Távoli eszközök osztott bújtatásának megakadályozása CMA_C1632 – Távoli eszközök osztott bújtatásának megakadályozása Manuális, Letiltva 1.1.0

Kriptográfiai mechanizmusokat implementálhat a CUI jogosulatlan közzétételének megakadályozására az átvitel során, kivéve, ha más módon alternatív fizikai biztosítékok védik.

Azonosító: NIST SP 800-171 R2 3.13.8 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 4.0.0
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. Naplózás, megtagadás, letiltva 1.0.0
Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére Manuális, Letiltva 1.1.0
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
A függvényalkalmazások csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, Letiltás, Megtagadás 5.0.0
A függvényalkalmazásoknak csak FTPS-t kell igényelniük Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. AuditIfNotExists, Disabled 3.0.0
A függvényalkalmazások a legújabb TLS-verziót használják A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 2.0.1
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól Naplózás, megtagadás, letiltva 1.0.0
Az átvitel alatt lévő adatok védelme titkosítással CMA_0403 – Adattovábbítási adatok védelme titkosítással Manuális, Letiltva 1.1.0
Jelszavak védelme titkosítással CMA_0408 – Jelszavak védelme titkosítással Manuális, Letiltva 1.1.0
Engedélyezni kell a tárfiókokba való biztonságos átvitelt A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 2.0.0
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. AuditIfNotExists, Disabled 4.1.1

A kommunikációs munkamenetekhez társított hálózati kapcsolatok megszakítása a munkamenetek végén vagy egy meghatározott inaktivitási időszak után.

Azonosító: NIST SP 800-171 R2 3.13.9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felhasználói munkamenet ismételt hitelesítése vagy leállása CMA_0421 – Felhasználói munkamenet újbóli hitelesítése vagy leállása Manuális, Letiltva 1.1.0

Rendszer- és információintegritás

A rendszerhibák időben történő azonosítása, jelentése és javítása.

Azonosító: NIST SP 800-171 R2 3.14.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 4.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
A függvényalkalmazások a legújabb HTTP-verziót használják Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. AuditIfNotExists, Disabled 4.0.0
Hibaelhárítás beépítése a konfigurációkezelésbe CMA_C1671 – Hibaelhárítás beépítése a konfigurációkezelésbe Manuális, Letiltva 1.1.0
A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában Naplózás, letiltva 1.0.2
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. AuditIfNotExists, Disabled 4.1.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat AuditIfNotExists, Disabled 3.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Védelmet nyújt a rosszindulatú kódok ellen a szervezeti rendszereken belüli kijelölt helyeken.

Azonosító: NIST SP 800-171 R2 3.14.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. AuditIfNotExists, Disabled 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Veszélyforrások elleni védelem állapotának heti áttekintése CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Figyelheti a rendszerbiztonsági riasztásokat és tanácsadásokat, és reagálva hajt végre lépéseket.

Azonosító: NIST SP 800-171 R2 3.14.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Biztonsági riasztások terjesztése a személyzet számára CMA_C1705 – Biztonsági riasztások terjesztése a személyzet számára Manuális, Letiltva 1.1.0
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.2.0
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. AuditIfNotExists, Disabled 2.1.0
Fenyegetésfelderítési program létrehozása CMA_0260 – Fenyegetésfelderítési program létrehozása Manuális, Letiltva 1.1.0
Biztonsági irányelvek implementálása CMA_C1706 – Biztonsági irányelvek végrehajtása Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1

Ha új kiadások érhetők el, frissítse a rosszindulatú kódvédelmi mechanizmusokat.

Azonosító: NIST SP 800-171 R2 3.14.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Átjárók kezelése CMA_0363 – Átjárók kezelése Manuális, Letiltva 1.1.0
Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. AuditIfNotExists, Disabled 1.0.0
A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. AuditIfNotExists, Disabled 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Biztonsági rések vizsgálata CMA_0393 – Biztonsági rések vizsgálata Manuális, Letiltva 1.1.0
Kártevőészlelési jelentés heti áttekintése CMA_0475 – Kártevőészlelési jelentések heti áttekintése Manuális, Letiltva 1.1.0
Víruskereső-definíciók frissítése CMA_0517 – Víruskereső-definíciók frissítése Manuális, Letiltva 1.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Végezze el a szervezeti rendszerek rendszeres vizsgálatát és a külső forrásokból származó fájlok valós idejű vizsgálatát a fájlok letöltése, megnyitása vagy végrehajtása során.

Azonosító: NIST SP 800-171 R2 3.14.5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. AuditIfNotExists, Disabled 1.0.0
A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. AuditIfNotExists, Disabled 1.1.0
A Windows Defender Exploit Guardot engedélyezni kell a gépeken A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). AuditIfNotExists, Disabled 2.0.0

Figyelheti a szervezeti rendszereket, beleértve a bejövő és kimenő kommunikációs forgalmat is, hogy észlelje a támadásokat és a lehetséges támadások jelzéseit.

Azonosító: NIST SP 800-171 R2 3.14.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése Manuális, Letiltva 1.1.0
A biztonsági rések bármilyen jelzésének felderítése CMA_C1702 – A biztonsági rések bármilyen jelzésének felderítése Manuális, Letiltva 1.1.0
Biztonsági műveletek dokumentálása CMA_0202 – Biztonsági műveletek dokumentálása Manuális, Letiltva 1.1.0
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.2.0
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. AuditIfNotExists, Disabled 2.1.0
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1
Érzékelők bekapcsolása végpontbiztonsági megoldáshoz CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz Manuális, Letiltva 1.1.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

A szervezeti rendszerek jogosulatlan használatának azonosítása.

Azonosító: NIST SP 800-171 R2 3.14.7 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával AuditIfNotExists, Disabled 3.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Tudatosság és képzés

Azonosító: NIST SP 800-171 R2 3.2.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszeres biztonsági tudatossági képzés biztosítása CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása Manuális, Letiltva 1.1.0
Biztonsági képzés biztosítása új felhasználók számára CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára Manuális, Letiltva 1.1.0

Azonosító: NIST SP 800-171 R2 3.2.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszeres szerepköralapú biztonsági képzés biztosítása CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása Manuális, Letiltva 1.1.0
Biztonsági képzés biztosítása a hozzáférés biztosítása előtt CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt Manuális, Letiltva 1.1.0

A belső fenyegetések lehetséges mutatóinak felismerésére és jelentésére vonatkozó biztonsági tudatossági képzés biztosítása.

Azonosító: NIST SP 800-171 R2 3.2.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Insider threat program implementálása CMA_C1751 – Insider threat program implementálása Manuális, Letiltva 1.1.0
Biztonságtudatossági képzés az insider fenyegetésekhez CMA_0417 – A belső fenyegetésekre vonatkozó biztonsági tudatossági képzés biztosítása Manuális, Letiltva 1.1.0

Naplózás és elszámoltathatóság

Rendszernaplók és -rekordok létrehozása és megőrzése a jogellenes vagy jogosulatlan rendszertevékenységek monitorozásához, elemzéséhez, vizsgálatához és jelentéséhez szükséges mértékben

Azonosító: NIST SP 800-171 R2 3.3.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
A megadott megőrzési időszakok betartása CMA_0004 – A megadott megőrzési időszakok betartása Manuális, Letiltva 1.1.0
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Az Azure Audit képességeinek konfigurálása CMA_C1108 – Az Azure Audit képességeinek konfigurálása Manuális, Letiltva 1.1.1
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0
Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása Manuális, Letiltva 1.1.0
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Auditvizsgálat, elemzés és jelentéskészítés integrálása CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Biztonsági szabályzatok és eljárások megőrzése CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése Manuális, Letiltva 1.1.0
Megszakított felhasználói adatok megőrzése CMA_0455 – Megszakított felhasználói adatok megőrzése Manuális, Letiltva 1.1.0
Fiókkiépítési naplók áttekintése CMA_0460 – Fiókkiépítési naplók áttekintése Manuális, Letiltva 1.1.0
Rendszergazdai hozzárendelések heti áttekintése CMA_0461 – Rendszergazdai feladatok heti áttekintése Manuális, Letiltva 1.1.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0
A felhő identitásjelentésének áttekintése CMA_0468 – A felhőalapú identitásjelentés áttekintése Manuális, Letiltva 1.1.0
Ellenőrzött mappaelérési események áttekintése CMA_0471 – Ellenőrzött mappaelérési események áttekintése Manuális, Letiltva 1.1.0
Fájl- és mappatevékenység áttekintése CMA_0473 – Fájl- és mappatevékenység áttekintése Manuális, Letiltva 1.1.0
Szerepkörcsoportok változásainak heti áttekintése CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése Manuális, Letiltva 1.1.0
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. AuditIfNotExists, Disabled 3.0.0
A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1
A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. AuditIfNotExists, Disabled 1.1.0
A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Győződjön meg arról, hogy az egyes rendszerfelhasználók műveletei egyedileg nyomon követhetők ezekre a felhasználókra, hogy felelősségre vonhatók legyenek a tevékenységeikért.

Azonosító: NIST SP 800-171 R2 3.3.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-előzetes verzió
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell a naplózást az SQL Serveren Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Disabled 2.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0
Elektronikus aláírási és tanúsítványkövetelmények létrehozása CMA_0271 – Elektronikus aláírásra és tanúsítványra vonatkozó követelmények megállapítása Manuális, Letiltva 1.1.0
A vendégkonfigurációs bővítményt telepíteni kell a gépekre A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Engedélyezve kell lennie a Network Watchernek A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az IoT Hubon Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.1.0
Engedélyezni kell az erőforrásnaplókat a Key Vaultban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.1.0
Engedélyezni kell a Search szolgáltatás erőforrásnaplóit Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. AuditIfNotExists, Disabled 3.0.0
A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1
A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. AuditIfNotExists, Disabled 1.1.0
A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Naplózott események áttekintése és frissítése.

Azonosító: NIST SP 800-171 R2 3.3.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az AU-02-ben definiált események áttekintése és frissítése CMA_C1106 – Az AU-02-ben definiált események áttekintése és frissítése Manuális, Letiltva 1.1.0

Riasztás naplózási folyamat meghiúsulása esetén.

Azonosító: NIST SP 800-171 R2 3.3.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózási feldolgozási tevékenységek szabályozása és monitorozása CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0
Valós idejű riasztások biztosítása naplózási eseményhibák esetén CMA_C1114 – Valós idejű riasztások biztosítása naplózási eseményhibák esetén Manuális, Letiltva 1.1.0

Korrelálja az auditrekordok áttekintési, elemzési és jelentéskészítési folyamatait a jogellenes, jogosulatlan, gyanús vagy szokatlan tevékenységekre adott vizsgálati és reagálási folyamatokhoz.

Azonosító: NIST SP 800-171 R2 3.3.5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vaultot Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Resource Managert Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. AuditIfNotExists, Disabled 1.0.2
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon SQL-kiszolgálók naplózása speciális adatbiztonság nélkül AuditIfNotExists, Disabled 2.0.1
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. AuditIfNotExists, Disabled 1.0.2
Naplózási rekordok korrelációja CMA_0087 – Naplórekordok korrelálása Manuális, Letiltva 1.1.0
Naplózási rekordelemzés integrálása CMA_C1120 – Naplózási rekordelemzés integrálása Manuális, Letiltva 1.1.0
A felhőalkalmazások biztonságának integrálása siem használatával CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával Manuális, Letiltva 1.1.0
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. AuditIfNotExists, Disabled 1.0.0
Engedélyezni kell a Microsoft Defender for Storage használatát A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. AuditIfNotExists, Disabled 1.0.0

Az igény szerinti elemzés és jelentéskészítés támogatásához naplózási rekordcsökkentést és jelentéskészítést biztosít.

Azonosító: NIST SP 800-171 R2 3.3.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kiemelt függvények naplózása CMA_0019 – Kiemelt függvények naplózása Manuális, Letiltva 1.1.0
Felhasználói fiók állapotának naplózása CMA_0020 – Felhasználói fiók állapotának naplózása Manuális, Letiltva 1.1.0
Naplózási rekordok fordítása rendszerszintű naplózásra CMA_C1140 – Auditrekordok fordítása rendszerszintű naplózásra Manuális, Letiltva 1.1.0
Naplózható események meghatározása CMA_0137 – Naplózható események meghatározása Manuális, Letiltva 1.1.0
Naplózási, elemzési és jelentéskészítési képesség biztosítása CMA_C1124 – Naplózási, elemzési és jelentéskészítési képesség biztosítása Manuális, Letiltva 1.1.0
Képesség biztosítása az ügyfél által ellenőrzött naplózási rekordok feldolgozására CMA_C1126 – Lehetővé teszi az ügyfél által ellenőrzött naplózási rekordok feldolgozását Manuális, Letiltva 1.1.0
Naplózási adatok áttekintése CMA_0466 – Auditadatok áttekintése Manuális, Letiltva 1.1.0

Olyan rendszerképesség biztosítása, amely összehasonlítja és szinkronizálja a belső rendszerórákat egy mérvadó forrással az auditrekordok időbélyegeinek létrehozásához

Azonosító: NIST SP 800-171 R2 3.3.7 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszerórák használata naplózási rekordokhoz CMA_0535 – Rendszerórák használata naplózási rekordokhoz Manuális, Letiltva 1.1.0

A naplózási információk és a naplózási eszközök védelme a jogosulatlan hozzáférés, módosítás és törlés ellen.

Azonosító: NIST SP 800-171 R2 3.3.8 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kettős vagy közös engedélyezés engedélyezése CMA_0226 – Kettős vagy közös engedélyezés engedélyezése Manuális, Letiltva 1.1.0
Biztonsági mentési szabályzatok és eljárások létrehozása CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása Manuális, Letiltva 1.1.0
A naplózási rendszer integritásának fenntartása CMA_C1133 – A naplózási rendszer integritásának fenntartása Manuális, Letiltva 1.1.0
Naplózási információk védelme CMA_0401 – Naplózási információk védelme Manuális, Letiltva 1.1.0

A naplózási funkciók kezelésének korlátozása a kiemelt felhasználók egy részhalmazára.

Azonosító: NIST SP 800-171 R2 3.3.9 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózási információk védelme CMA_0401 – Naplózási információk védelme Manuális, Letiltva 1.1.0

Konfigurációkezelés

A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során.

Azonosító: NIST SP 800-171 R2 3.4.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. Naplózás, letiltva 3.1.0-elavult
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. AuditIfNotExists, Disabled 2.0.0
A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. Naplózás, letiltva 1.0.2
Nem megfelelő eszközök műveleteinek konfigurálása CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz Manuális, Letiltva 1.1.0
Adatleltár létrehozása CMA_0096 – Adatleltár létrehozása Manuális, Letiltva 1.1.0
Alapkonfigurációk fejlesztése és karbantartása CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása Manuális, Letiltva 1.1.0
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
Konfigurációs vezérlőtábla létrehozása CMA_0254 – Konfigurációs vezérlőtábla létrehozása Manuális, Letiltva 1.1.0
Konfigurációkezelési terv létrehozása és dokumentálása CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Eszközleltár létrehozása és karbantartása CMA_0266 – Eszközleltár létrehozása és karbantartása Manuális, Letiltva 1.1.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. AuditIfNotExists, Disabled 2.0.0
Automatizált konfigurációkezelő eszköz implementálása CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása Manuális, Letiltva 1.1.0
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.3.0
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.2.0
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.2.0
A személyes adatok feldolgozásának nyilvántartása CMA_0353 – A személyes adatok feldolgozásának nyilvántartása Manuális, Letiltva 1.1.0
Az alapkonfigurációk korábbi verzióinak megőrzése CMA_C1181 – Az alapkonfigurációk korábbi verzióinak megőrzése Manuális, Letiltva 1.1.0
A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.0.0

Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez.

Azonosító: NIST SP 800-171 R2 3.4.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. Naplózás, letiltva 3.1.0-elavult
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. AuditIfNotExists, Disabled 2.0.0
A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. Naplózás, letiltva 1.0.2
Biztonsági konfigurációs beállítások kényszerítése CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 2.0.0
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. AuditIfNotExists, Disabled 2.0.0
Felhőszolgáltatók megfelelőségének szabályozása CMA_0290 – A felhőszolgáltatók megfelelőségének szabályozása Manuális, Letiltva 1.1.0
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.3.0
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.2.0
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.2.0
Az információs rendszer hibáinak elhárítása CMA_0427 – Az információs rendszer hibáinak elhárítása Manuális, Letiltva 1.1.0
Rendszerdiagnosztikai adatok megtekintése és konfigurálása CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása Manuális, Letiltva 1.1.0
A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. AuditIfNotExists, Disabled 2.0.0

A szervezeti rendszerek változásainak nyomon követése, áttekintése, jóváhagyása vagy elutasítása és naplózása.

Azonosító: NIST SP 800-171 R2 3.4.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Információbiztonsági képviselő hozzárendelése a változásvezérléshez CMA_C1198 – Információbiztonsági képviselő hozzárendelése a változásvezérléshez Manuális, Letiltva 1.1.0
A javasolt módosítások jóváhagyási kérésének automatizálása CMA_C1192 – A javasolt módosítások jóváhagyási kérésének automatizálása Manuális, Letiltva 1.1.0
Jóváhagyott változásértesítések végrehajtásának automatizálása CMA_C1196 – A jóváhagyott változásértesítések végrehajtásának automatizálása Manuális, Letiltva 1.1.0
Folyamat automatizálása a végrehajtott módosítások dokumentálásához CMA_C1195 – Folyamat automatizálása a végrehajtott módosítások dokumentálásához Manuális, Letiltva 1.1.0
A nem megtekintett módosítási javaslatok kiemelésének automatizálása CMA_C1193 – A nem megtekintett módosítási javaslatok kiemelésére irányuló folyamat automatizálása Manuális, Letiltva 1.1.0
A nem jóváhagyott módosítások implementálásának tiltását célzó folyamat automatizálása CMA_C1194 – Automatizálja a nem jóváhagyott módosítások végrehajtását tiltó folyamatot Manuális, Letiltva 1.1.0
Javasolt dokumentált módosítások automatizálása CMA_C1191 – Javasolt dokumentált módosítások automatizálása Manuális, Letiltva 1.1.0
Biztonsági hatáselemzés végrehajtása CMA_0057 – Biztonsági hatáselemzés végrehajtása Manuális, Letiltva 1.1.0
Biztonságirés-kezelés szabvány fejlesztése és karbantartása CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása Manuális, Letiltva 1.1.0
Kockázatkezelési stratégia létrehozása CMA_0258 – Kockázatkezelési stratégia létrehozása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Adatvédelmi hatásvizsgálat elvégzése CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

Elemezze a módosítások biztonsági hatását a megvalósítás előtt.

Azonosító: NIST SP 800-171 R2 3.4.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Biztonsági hatáselemzés végrehajtása CMA_0057 – Biztonsági hatáselemzés végrehajtása Manuális, Letiltva 1.1.0
Biztonságirés-kezelés szabvány fejlesztése és karbantartása CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása Manuális, Letiltva 1.1.0
Kockázatkezelési stratégia létrehozása CMA_0258 – Kockázatkezelési stratégia létrehozása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Konfigurációkezelési követelmények létrehozása fejlesztők számára CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára Manuális, Letiltva 1.1.0
Adatvédelmi hatásvizsgálat elvégzése CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése Manuális, Letiltva 1.1.0
Kockázatértékelés végrehajtása CMA_0388 – Kockázatértékelés végrehajtása Manuális, Letiltva 1.1.0
Naplózás végrehajtása a konfigurációmódosítás-vezérléshez CMA_0390 – A konfigurációmódosítás-vezérlés naplózása Manuális, Letiltva 1.1.0

A szervezeti rendszerek változásaihoz kapcsolódó fizikai és logikai hozzáférési korlátozások meghatározása, dokumentálása, jóváhagyása és kényszerítése.

Azonosító: NIST SP 800-171 R2 3.4.5 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Hozzáférési korlátozások kényszerítése és naplózása CMA_C1203 – Hozzáférési korlátozások kényszerítése és naplózása Manuális, Letiltva 1.1.0
Változáskövetési folyamatok létrehozása és dokumentálása CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása Manuális, Letiltva 1.1.0
Jogosultságok korlátozása az éles környezetben végzett módosításokhoz CMA_C1206 – A jogosultságok korlátozása az éles környezetben végzett módosításokhoz Manuális, Letiltva 1.1.0
Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása CMA_C1205 – Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása Manuális, Letiltva 1.1.0
Jogosultságok áttekintése és újraértékelése CMA_C1207 – Jogosultságok áttekintése és újraértékelése Manuális, Letiltva 1.1.0
A jogosulatlan módosítások módosításainak áttekintése CMA_C1204 – A jogosulatlan módosítások módosításainak áttekintése Manuális, Letiltva 1.1.0

Alkalmazza a minimális funkcionalitás elvét úgy, hogy a szervezeti rendszereket úgy konfigurálja, hogy csak az alapvető képességeket biztosítsa.

Azonosító: NIST SP 800-171 R2 3.4.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defendert a kiszolgálókhoz A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3

Azonosítás és hitelesítés

A rendszerfelhasználók, a felhasználók nevében eljáró folyamatok és eszközök azonosítása.

Azonosító: NIST SP 800-171 R2 3.5.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Rendszerazonosítók hozzárendelése CMA_0018 – Rendszerazonosítók hozzárendelése Manuális, Letiltva 1.1.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Felhasználói egyediség kényszerítése CMA_0250 – Felhasználói egyediség kényszerítése Manuális, Letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Egyéni hitelesítők használatának megkövetelése CMA_C1305 – Egyéni hitelesítők használatának megkövetelése Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása Manuális, Letiltva 1.1.0

Csak kriptográfiailag védett jelszavak tárolása és továbbítása.

Azonosító: NIST SP 800-171 R2 3.5.10 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva AuditIfNotExists, Disabled 3.1.0
A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Disabled 2.0.0
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket CMA_C1339 – Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket Manuális, Letiltva 1.1.0
Jelszavak védelme titkosítással CMA_0408 – Jelszavak védelme titkosítással Manuális, Letiltva 1.1.0
A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

A hitelesítési információk homályos visszajelzése

Azonosító: NIST SP 800-171 R2 3.5.11 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Homályos visszajelzési információk a hitelesítési folyamat során CMA_C1344 – Homályos visszajelzési információk a hitelesítési folyamat során Manuális, Letiltva 1.1.0

A szervezeti rendszerekhez való hozzáférés engedélyezésének előfeltételeként hitelesítse (vagy ellenőrizze) a felhasználók, folyamatok vagy eszközök identitásait.

Azonosító: NIST SP 800-171 R2 3.5.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva AuditIfNotExists, Disabled 3.1.0
A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Disabled 2.0.0
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 2.2.1
A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
Hitelesítő típusok és folyamatok létrehozása CMA_0267 – Hitelesítő típusok és folyamatok létrehozása Manuális, Letiltva 1.1.0
A kezdeti hitelesítők terjesztésére vonatkozó eljárások létrehozása CMA_0276 – Eljárások létrehozása a kezdeti hitelesítők terjesztéséhez Manuális, Letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. Naplózás, megtagadás, letiltva 1.0.2
A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. Naplózás, megtagadás, letiltva 1.0.2
A hitelesítő élettartamának és újrafelhasználásának kezelése CMA_0355 – A hitelesítő élettartamának és újrafelhasználásának kezelése Manuális, Letiltva 1.1.0
Hitelesítők kezelése CMA_C1321 – Hitelesítők kezelése Manuális, Letiltva 1.1.0
Hitelesítők frissítése CMA_0425 – Hitelesítők frissítése Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
Identitás ellenőrzése a hitelesítők terjesztése előtt CMA_0538 – Identitás ellenőrzése a hitelesítők terjesztése előtt Manuális, Letiltva 1.1.0

Többtényezős hitelesítés használata a kiemelt fiókokhoz való helyi és hálózati hozzáféréshez, valamint a nem emelt szintű fiókokhoz való hálózati hozzáféréshez

Azonosító: NIST SP 800-171 R2 3.5.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 1.0.0
Biometrikus hitelesítési mechanizmusok bevezetése CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése Manuális, Letiltva 1.1.0
Hálózati eszközök azonosítása és hitelesítése CMA_0296 – Hálózati eszközök azonosítása és hitelesítése Manuális, Letiltva 1.1.0

Replay-rezisztens hitelesítési mechanizmusokat alkalmazhat a kiemelt és nem emelt jogosultságú fiókokhoz való hálózati hozzáféréshez.

Azonosító: NIST SP 800-171 R2 3.5.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Az azonosítók meghatározott időszakra történő újbóli felhasználásának megakadályozása.

Azonosító: NIST SP 800-171 R2 3.5.5 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban CMA_C1314 – Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban Manuális, Letiltva 1.1.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0

Az azonosítók letiltása meghatározott inaktivitási időszak után.

Azonosító: NIST SP 800-171 R2 3.5.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások AuditIfNotExists, Disabled 1.0.0
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth Naplózás, megtagadás, letiltva 1.1.0
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazások felügyelt identitást használnak Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 3.0.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0

Új jelszavak létrehozásakor a jelszó minimális összetettségének és a karakterek módosításának kényszerítése.

Azonosító: NIST SP 800-171 R2 3.5.7 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása AuditIfNotExists, Disabled 2.0.0
Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter AuditIfNotExists, Disabled 2.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása Manuális, Letiltva 1.1.0
Jelszóházirend létrehozása CMA_0256 – Jelszóházirend létrehozása Manuális, Letiltva 1.1.0
Paraméterek implementálása a memorizált titkos kód ellenőrzőihez CMA_0321 – Paraméterek implementálása a memorizált titkos kód ellenőrzőihez Manuális, Letiltva 1.1.0

Jelszó újrafelhasználásának tiltása adott számú generáció esetében.

Azonosító: NIST SP 800-171 R2 3.5.8 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. módosítás 4.1.0
Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 AuditIfNotExists, Disabled 2.1.0
A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0

Incidenskezelés

Működési incidenskezelési képesség létrehozása a szervezeti rendszerek számára, amely magában foglalja az előkészítési, észlelési, elemzési, elszigetelési, helyreállítási és felhasználói választevékenységeket.

Azonosító: NIST SP 800-171 R2 3.6.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Készenléti tervek koordinálása kapcsolódó tervekkel CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel Manuális, Letiltva 1.1.0
Együttműködés a külső szervezetekkel a szervezetközi perspektívák elérése érdekében CMA_C1368 – Együttműködés külső szervezetekkel a szervezetközi perspektívák elérése érdekében Manuális, Letiltva 1.1.0
Incidenskezelési terv kidolgozása CMA_0145 – Incidenskezelési terv kidolgozása Manuális, Letiltva 1.1.0
Biztonsági garanciák fejlesztése CMA_0161 – Biztonsági garanciák fejlesztése Manuális, Letiltva 1.1.0
Biztonsági műveletek dokumentálása CMA_0202 – Biztonsági műveletek dokumentálása Manuális, Letiltva 1.1.0
Hálózatvédelem engedélyezése CMA_0238 – Hálózatvédelem engedélyezése Manuális, Letiltva 1.1.0
Szennyezett adatok felszámolása CMA_0253 – Szennyezett adatok felszámolása Manuális, Letiltva 1.1.0
Műveletek végrehajtása az információk kiömlésére válaszul CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul Manuális, Letiltva 1.1.0
Incidenskezelés implementálása CMA_0318 – Incidenskezelés megvalósítása Manuális, Letiltva 1.1.0
Trendelemzés végrehajtása fenyegetéseken CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről Manuális, Letiltva 1.1.0
Információk kiömlése betanításának biztosítása CMA_0413 – Információátömlési képzés biztosítása Manuális, Letiltva 1.1.0
Korlátozott felhasználók megtekintése és vizsgálata CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata Manuális, Letiltva 1.1.0

Az incidensek nyomon követése, dokumentálása és jelentése a kijelölt tisztviselőknek és/vagy hatóságoknak a szervezeten belül és kívül egyaránt.

Azonosító: NIST SP 800-171 R2 3.6.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.2.0
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. AuditIfNotExists, Disabled 2.1.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1

Tesztelje a szervezeti incidensek válaszképességét.

Azonosító: NIST SP 800-171 R2 3.6.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Incidenskezelés tesztelése CMA_0060 – Incidenskezelés tesztelése Manuális, Letiltva 1.1.0
Információbiztonsági program létrehozása CMA_0263 – Információbiztonsági program létrehozása Manuális, Letiltva 1.1.0
Szimulációs támadások futtatása CMA_0486 – Szimulációs támadások futtatása Manuális, Letiltva 1.1.0

Karbantartás

Karbantartást végezhet a szervezeti rendszereken. [26].

Azonosító: NIST SP 800-171 R2 3.7.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0

Szabályozza a rendszerkarbantartáshoz használt eszközöket, technikákat, mechanizmusokat és személyzetet.

Azonosító: NIST SP 800-171 R2 3.7.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Győződjön meg arról, hogy a helyszíni karbantartáshoz eltávolított berendezéseket minden CUI-ból megtisztítják.

Azonosító: NIST SP 800-171 R2 3.7.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Ellenőrizze a diagnosztikai és tesztprogramokat tartalmazó médiatartalmakat, mielőtt az adathordozót használták a szervezeti rendszerekben.

Azonosító: NIST SP 800-171 R2 3.7.4 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Karbantartási és javítási tevékenységek szabályozása CMA_0080 – Karbantartási és javítási tevékenységek szabályozása Manuális, Letiltva 1.1.0
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

Többtényezős hitelesítés megkövetelése a nem lokális karbantartási munkamenetek külső hálózati kapcsolatokon keresztüli létrehozásához és az ilyen kapcsolatok leállításához, ha a nem lokális karbantartás befejeződött.

Azonosító: NIST SP 800-171 R2 3.7.5 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Nem lokális karbantartási és diagnosztikai tevékenységek kezelése CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése Manuális, Letiltva 1.1.0

A karbantartó személyzet karbantartási tevékenységeinek felügyelete szükséges hozzáférési engedély nélkül.

Azonosító: NIST SP 800-171 R2 3.7.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére CMA_C1422 – Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére Manuális, Letiltva 1.1.0
Az engedélyezett távkarbantartási munkatársak listájának karbantartása CMA_C1420 – Az engedélyezett távkarbantartó személyzet listájának karbantartása Manuális, Letiltva 1.1.0
Karbantartó személyzet kezelése CMA_C1421 – Karbantartó személyzet kezelése Manuális, Letiltva 1.1.0

Médiavédelem

A CUI-t tartalmazó (azaz fizikailag szabályozható és biztonságosan tárolható) rendszer adathordozóinak védelme papíron és digitálisan egyaránt.

Azonosító: NIST SP 800-171 R2 3.8.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

CuI-hozzáférés korlátozása a rendszer adathordozóján a jogosult felhasználók számára

Azonosító: NIST SP 800-171 R2 3.8.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

A CUI-t tartalmazó rendszer adathordozójának megtisztítása vagy megsemmisítése az újrafelhasználás előtt.

Azonosító: NIST SP 800-171 R2 3.8.3 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Médiafertőtlenítési mechanizmus alkalmazása CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

Az adathordozó megjelölése a szükséges CUI-jelölésekkel és terjesztési korlátozásokkal. [27]

Azonosító: NIST SP 800-171 R2 3.8.4 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0

A CUI-t tartalmazó adathordozókhoz való hozzáférés szabályozása és a média elszámoltathatóságának fenntartása az ellenőrzött területeken kívüli szállítás során.

Azonosító: NIST SP 800-171 R2 3.8.5 Tulajdonos: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Eszközök szállításának kezelése CMA_0370 – Eszközök szállításának kezelése Manuális, Letiltva 1.1.0

Titkosítási mechanizmusokat implementálhat a digitális adathordozón tárolt CUI titkosságának védelme érdekében a szállítás során, kivéve, ha más alternatív fizikai biztosítékok védik.

Azonosító: NIST SP 800-171 R2 3.8.6 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Eszközök szállításának kezelése CMA_0370 – Eszközök szállításának kezelése Manuális, Letiltva 1.1.0

Szabályozhatja a cserélhető adathordozók használatát a rendszerösszetevőkben.

Azonosító: NIST SP 800-171 R2 3.8.7 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Médiahasználat korlátozása CMA_0450 – Médiahasználat korlátozása Manuális, Letiltva 1.1.0

Tiltsa meg a hordozható tárolóeszközök használatát, ha az ilyen eszközök nem rendelkeznek azonosítható tulajdonossal.

Azonosító: NIST SP 800-171 R2 3.8.8 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása Manuális, Letiltva 1.1.0
Hordozható tárolóeszközök használatának szabályozása CMA_0083 – Hordozható tárolóeszközök használatának szabályozása Manuális, Letiltva 1.1.0
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
Médiahasználat korlátozása CMA_0450 – Médiahasználat korlátozása Manuális, Letiltva 1.1.0

A biztonsági mentési CUI titkosságának védelme a tárolási helyeken.

Azonosító: NIST SP 800-171 R2 3.8.9 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az Azure Backupot engedélyezni kell a virtuális gépeken Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Disabled 3.0.0
Biztonsági mentési szabályzatok és eljárások létrehozása CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása Manuális, Letiltva 1.1.0
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Vezérlők implementálása az összes adathordozó védelméhez CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez Manuális, Letiltva 1.1.0
A kulcstartók törlés elleni védelmének engedélyezve kell lennie A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. Naplózás, megtagadás, letiltva 2.1.0
A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. Naplózás, megtagadás, letiltva 3.0.0

Személyzeti biztonság

A CUI-t tartalmazó szervezeti rendszerekhez való hozzáférés engedélyezése előtt képernyős személyek.

Azonosító: NIST SP 800-171 R2 3.9.1 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A minősített adatokhoz való hozzáféréssel rendelkező személyzet törlése CMA_0054 – A minősített információkhoz való hozzáféréssel rendelkező személyzet törlése Manuális, Letiltva 1.1.0
A személyzet szűrésének megvalósítása CMA_0322 – Személyzetszűrés megvalósítása Manuális, Letiltva 1.1.0

Győződjön meg arról, hogy a CUI-t tartalmazó szervezeti rendszerek védettek a személyzeti műveletek, például a felmondások és az átadások során és után

Azonosító: NIST SP 800-171 R2 3.9.2 Tulajdonjog: Megosztott

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Kilépési interjú lefolytatása a megszüntetéskor CMA_0058 – Kilépési interjú befejezésekor Manuális, Letiltva 1.1.0
Hitelesítők letiltása a leállításkor CMA_0169 – Hitelesítők letiltása a megszüntetéskor Manuális, Letiltva 1.1.0
Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése CMA_0333 – Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése Manuális, Letiltva 1.1.0
Hozzáférési engedélyek módosítása a személyzeti átadáskor CMA_0374 – Hozzáférés-engedélyek módosítása személyi átadáskor Manuális, Letiltva 1.1.0
Értesítés a felmondásról vagy az átadásról CMA_0381 – Értesítés a felmondásról vagy az átadásról Manuális, Letiltva 1.1.0
Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása CMA_0398 – Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása Manuális, Letiltva 1.1.0
A hozzáférés újraértékelése a személyzeti átadáskor CMA_0424 – A hozzáférés újraértékelése a személyzet átadásakor Manuális, Letiltva 1.1.0

Következő lépések

További cikkek az Azure Policyról: