A rendszer- és szervezetvezérlők (SOC) 2 jogszabályi megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk bemutatja, hogyan képezi le az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója a 2. rendszer- és szervezeti vezérlők megfelelőségi tartományait és vezérlőit . Erről a megfelelőségi szabványról további információt a 2. soc. rendszer- és szervezetvezérlőkben talál. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
A következő leképezések a System and Organization Controls (SOC) 2 vezérlőkre vannak leképezve. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a SOC 2 Type 2 Szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
További rendelkezésre állási feltételek
Kapacitáskezelés
Azonosító: SOC 2 Type 2 A1.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kapacitástervezés végrehajtása | CMA_C1252 – Kapacitástervezés végrehajtása | Manuális, Letiltva | 1.1.0 |
Környezetvédelem, szoftverek, adat-biztonsági mentési folyamatok és helyreállítási infrastruktúra
Azonosító: SOC 2 Type 2 A1.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Automatikus vészvilágítás alkalmazása | CMA_0209 – Automatikus vészvilágítás alkalmazása | Manuális, Letiltva | 1.1.0 |
| Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Behatolástesztelési módszertan implementálása | CMA_0306 – Behatolástesztelési módszertan implementálása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
| Riasztórendszer telepítése | CMA_0338 – Riasztórendszer telepítése | Manuális, Letiltva | 1.1.0 |
| Erőforrások helyreállítása és helyreállítása a megszakítások után | CMA_C1295 – Erőforrások helyreállítása és helyreállítása a megszakítások után | Manuális, Letiltva | 1.1.1 |
| Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
| A biztonsági mentési adatok külön tárolása | CMA_C1293 – A biztonsági mentési adatok külön tárolása | Manuális, Letiltva | 1.1.0 |
| Biztonsági mentési adatok átvitele másik tárolóhelyre | CMA_C1294 – Biztonsági mentési adatok átvitele másik tárolóhelyre | Manuális, Letiltva | 1.1.0 |
Helyreállítási terv tesztelése
Azonosító: SOC 2 Type 2 A1.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
| Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | CMA_C1263 – Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | Manuális, Letiltva | 1.1.0 |
| A vészhelyzeti terv tesztelésének eredményeinek áttekintése | CMA_C1262 – A készenléti terv tesztelésének eredményeinek áttekintése | Manuális, Letiltva | 1.1.0 |
| Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | CMA_0509 – Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | Manuális, Letiltva | 1.1.0 |
További bizalmassági feltételek
Bizalmas információk védelme
Azonosító: SOC 2 Type 2 C1.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Bizalmas információk ártalmatlanítása
Azonosító: SOC 2 Type 2 C1.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Vezérlőkörnyezet
COSO elv 1
Azonosító: SOC 2 Type 2 CC1.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Szervezeti magatartási szabályzat fejlesztése | CMA_0159 – Szervezeti magatartási szabályzat kidolgozása | Manuális, Letiltva | 1.1.0 |
| A személyzet adatvédelmi követelményeinek elfogadása | CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
| Tisztességtelen eljárások tiltása | CMA_0396 – Tisztességtelen eljárások tiltása | Manuális, Letiltva | 1.1.0 |
| Módosított viselkedési szabályok áttekintése és aláírása | CMA_0465 – Felülvizsgált viselkedési szabályok áttekintése és aláírása | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szerződések szabályainak frissítése | CMA_0521 – Viselkedési és hozzáférési szerződések szabályainak frissítése | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | CMA_0522 – A viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | Manuális, Letiltva | 1.1.0 |
COSO elv 2
Azonosító: SOC 2 Type 2 CC1.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezető informatikai biztonsági tisztviselő kinevezése | CMA_C1733 – Vezető informatikai biztonsági tisztviselő kinevezése | Manuális, Letiltva | 1.1.0 |
| Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
COSO elv 3
Azonosító: SOC 2 Type 2 CC1.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezető informatikai biztonsági tisztviselő kinevezése | CMA_C1733 – Vezető informatikai biztonsági tisztviselő kinevezése | Manuális, Letiltva | 1.1.0 |
| Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
COSO-elv 4
Azonosító: SOC 2 Type 2 CC1.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszeres szerepköralapú biztonsági képzés biztosítása | CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Rendszeres biztonsági tudatossági képzés biztosítása | CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Szerepköralapú gyakorlati gyakorlatok biztosítása | CMA_C1096 – Szerepköralapú gyakorlati gyakorlatok biztosítása | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása új felhasználók számára | CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára | Manuális, Letiltva | 1.1.0 |
COSO-elv 5
Azonosító: SOC 2 Type 2 CC1.5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
| Formális szankciós folyamat implementálása | CMA_0317 – Formális szankciós folyamat végrehajtása | Manuális, Letiltva | 1.1.0 |
| A személyzet értesítése a szankciókról | CMA_0380 – A személyzet értesítése a szankciókról | Manuális, Letiltva | 1.1.0 |
Kommunikáció és információ
COSO-elv 13
Azonosító: SOC 2 Type 2 CC2.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
COSO elv 14
Azonosító: SOC 2 Type 2 CC2.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
| Rendszeres szerepköralapú biztonsági képzés biztosítása | CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Rendszeres biztonsági tudatossági képzés biztosítása | CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása új felhasználók számára | CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára | Manuális, Letiltva | 1.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
COSO-elv 15
Azonosító: SOC 2 Type 2 CC2.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
| Biztonsági értékelés eredményeinek átadása | CMA_C1147 – Biztonsági értékelés eredményeinek átadása | Manuális, Letiltva | 1.1.0 |
| Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Külső személyzet biztonsági követelményeinek megállapítása | CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Biztonsági felmérési jelentés készítése | CMA_C1146 – Biztonsági felmérési jelentés készítése | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez | CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre | Manuális, Letiltva | 1.1.0 |
| Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Kockázatértékelés
COSO elv 6
Azonosító: SOC 2 Type 2 CC3.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információk kategorizálása | CMA_0052 – Információk kategorizálása | Manuális, Letiltva | 1.1.0 |
| Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
| Üzleti besorolási rendszerek fejlesztése | CMA_0155 – Üzleti besorolási rendszerek fejlesztése | Manuális, Letiltva | 1.1.0 |
| Feltételeknek megfelelő SSP fejlesztése | CMA_C1492 – Feltételeknek megfelelő SSP fejlesztése | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
COSO elv 7
Azonosító: SOC 2 Type 2 CC3.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Információk kategorizálása | CMA_0052 – Információk kategorizálása | Manuális, Letiltva | 1.1.0 |
| Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
| Üzleti besorolási rendszerek fejlesztése | CMA_0155 – Üzleti besorolási rendszerek fejlesztése | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
COSO elv 8
Azonosító: SOC 2 Type 2 CC3.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
COSO elv 9
Azonosító: SOC 2 Type 2 CC3.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
| Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Monitorozási tevékenységek
COSO-elv 16
Azonosító: SOC 2 Type 2 CC4.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági vezérlők értékelése | CMA_C1145 – Biztonsági vezérlők értékelése | Manuális, Letiltva | 1.1.0 |
| Biztonsági felmérési terv kidolgozása | CMA_C1144 – Biztonsági értékelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| További tesztelés kiválasztása a biztonsági ellenőrzési értékelésekhez | CMA_C1149 – További tesztelés kiválasztása a biztonsági ellenőrzés értékeléséhez | Manuális, Letiltva | 1.1.0 |
COSO elv 17
Azonosító: SOC 2 Type 2 CC4.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági értékelés eredményeinek átadása | CMA_C1147 – Biztonsági értékelés eredményeinek átadása | Manuális, Letiltva | 1.1.0 |
| Biztonsági felmérési jelentés készítése | CMA_C1146 – Biztonsági felmérési jelentés készítése | Manuális, Letiltva | 1.1.0 |
Tevékenységek vezérlése
COSO elv 10
Azonosító: SOC 2 Type 2 CC5.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
COSO elv 11
Azonosító: SOC 2 Type 2 CC5.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
| A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
| A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
COSO elv 12
Azonosító: SOC 2 Type 2 CC5.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Észlelési engedélyezési lista konfigurálása | CMA_0068 – Észlelési engedélyezési lista konfigurálása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
| Független biztonsági felülvizsgálaton megy keresztül | CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül | Manuális, Letiltva | 1.1.0 |
Logikai és fizikai hozzáférés-vezérlők
Logikai hozzáférési biztonsági szoftverek, infrastruktúra és architektúrák
Azonosító: SOC 2 Type 2 CC6.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Naplózás, megtagadás, letiltva | 2.2.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Adatleltár létrehozása | CMA_0096 – Adatleltár létrehozása | Manuális, Letiltva | 1.1.0 |
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
| A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
| Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
| Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| A személyes adatok feldolgozásának nyilvántartása | CMA_0353 – A személyes adatok feldolgozásának nyilvántartása | Manuális, Letiltva | 1.1.0 |
| Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről | CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről | Manuális, Letiltva | 1.1.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Hozzáférés kiépítése és eltávolítása
Azonosító: SOC 2 Type 2 CC6.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fiókkezelők hozzárendelése | CMA_0015 – Fiókkezelők hozzárendelése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Dokumentum-hozzáférési jogosultságok | CMA_0186 – Dokumentum-hozzáférési jogosultságok | Manuális, Letiltva | 1.1.0 |
| A szerepkör-tagság feltételeinek megállapítása | CMA_0269 – A szerepkör-tagság feltételeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
Rol-alapú hozzáférés és minimális jogosultság
Azonosító: SOC 2 Type 2 CC6.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Kiemelt szerepkör-hozzárendelés figyelése | CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói jogosultságok áttekintése | CMA_C1039 – Felhasználói jogosultságok áttekintése | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
| Emelt szintű identitáskezelés használata | CMA_0533 – Emelt szintű identitáskezelés használata | Manuális, Letiltva | 1.1.0 |
Korlátozott fizikai hozzáférés
Azonosító: SOC 2 Type 2 CC6.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Logikai és fizikai védelem fizikai eszközök felett
Azonosító: SOC 2 Type 2 CC6.5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Biztonsági intézkedések a rendszer határain kívüli fenyegetések ellen
Azonosító: SOC 2 Type 2 CC6.6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
| Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
| Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
| Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről | CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről | Manuális, Letiltva | 1.1.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Az információk engedélyezett felhasználókra való áthelyezésének korlátozása
Azonosító: SOC 2 Type 2 CC6.7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| Mobileszköz-követelmények meghatározása | CMA_0122 – Mobileszköz-követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
| Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| Eszközök szállításának kezelése | CMA_0370 – Eszközök szállításának kezelése | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése
Azonosító: SOC 2 Type 2 CC6.8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.3.0 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.2.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.2.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.2.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
| Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
Rendszerműveletek
Új biztonsági rések észlelése és monitorozása
Azonosító: SOC 2 Type 2 CC7.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
| Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
| Hálózati eszközök észlelésének engedélyezése | CMA_0220 – Hálózati eszközök észlelésének engedélyezése | Manuális, Letiltva | 1.1.0 |
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
| Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Rendszerösszetevők figyelése rendellenes viselkedés esetén
Azonosító: SOC 2 Type 2 CC7.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| Tevékenységnapló-riasztásnak kell léteznie adott felügyeleti műveletekhez | Ez a szabályzat naplózza az adott felügyeleti műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
| Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | Manuális, Letiltva | 1.1.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
Biztonsági incidensek észlelése
Azonosító: SOC 2 Type 2 CC7.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | CMA_C1352 – Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Biztonsági incidensek válasza
Azonosító: SOC 2 Type 2 CC7.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
| Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
| Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
| Incidensek és végrehajtott műveletek osztályainak azonosítása | CMA_C1365 – Incidensek és végrehajtott műveletek osztályainak azonosítása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | CMA_C1364 – Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Helyreállítás azonosított biztonsági incidensekből
Azonosító: SOC 2 Type 2 CC7.5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés tesztelése | CMA_0060 – Incidenskezelés tesztelése | Manuális, Letiltva | 1.1.0 |
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
| Együttműködés a külső szervezetekkel a szervezetközi perspektívák elérése érdekében | CMA_C1368 – Együttműködés külső szervezetekkel a szervezetközi perspektívák elérése érdekében | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
| Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági program létrehozása | CMA_0263 – Információbiztonsági program létrehozása | Manuális, Letiltva | 1.1.0 |
| Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Változáskezelés
Az infrastruktúra, az adatok és a szoftverek változásai
Azonosító: SOC 2 Type 2 CC8.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Biztonsági hatáselemzés végrehajtása | CMA_0057 – Biztonsági hatáselemzés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
| Biztonságirés-kezelés szabvány fejlesztése és karbantartása | CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása | Manuális, Letiltva | 1.1.0 |
| Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.3.0 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.2.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.2.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.2.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Adatvédelmi hatásvizsgálat elvégzése | CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
Kockázatcsökkentés
Kockázatcsökkentési tevékenységek
Azonosító: SOC 2 Type 2 CC9.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információvédelmi igények meghatározása | CMA_C1750 – Információvédelmi igények meghatározása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Szállítók és üzleti partnerek kockázatkezelése
Azonosító: SOC 2 Type 2 CC9.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
| Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
| A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
| A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
| Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | Manuális, Letiltva | 1.1.0 |
| Külső személyzet biztonsági követelményeinek megállapítása | CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltató megfelelőségének monitorozása | CMA_C1533 – Külső szolgáltatók megfelelőségének monitorozása | Manuális, Letiltva | 1.1.0 |
| A PII harmadik felek számára történő közzétételének rögzítése | CMA_0422 – A PII harmadik felek számára történő közzétételének rögzítése | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez | CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre | Manuális, Letiltva | 1.1.0 |
| A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
További adatvédelmi feltételek
Adatvédelmi nyilatkozat
Azonosító: SOC 2 Type 2 P1.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatvédelmi szabályzat dokumentálása és terjesztése | CMA_0188 – Adatvédelmi szabályzat dokumentálása és terjesztése | Manuális, Letiltva | 1.1.0 |
| Győződjön meg arról, hogy az adatvédelmi program adatai nyilvánosan elérhetők | CMA_C1867 – Győződjön meg arról, hogy az adatvédelmi programok adatai nyilvánosan elérhetők | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat küldése a nyilvánosságnak és az egyéneknek | CMA_C1861 – Adatvédelmi nyilatkozat küldése a nyilvánosságnak és az egyéneknek | Manuális, Letiltva | 1.1.0 |
Adatvédelmi hozzájárulás
Azonosító: SOC 2 Type 2 P2.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A személyzet adatvédelmi követelményeinek elfogadása | CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
Konzisztens személyes információgyűjtés
Azonosító: SOC 2 Type 2 P3.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A PII gyűjtésére vonatkozó jogi hatóság meghatározása | CMA_C1800 – A PII gyűjtésére vonatkozó jogi hatóság meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumfolyamat a PII integritásának biztosításához | CMA_C1827 – Dokumentumfolyamat a PII integritásának biztosításához | Manuális, Letiltva | 1.1.0 |
| A PII-gazdaságok rendszeres kiértékelése és áttekintése | CMA_C1832 – A PII-gazdaságok rendszeres értékelése és áttekintése | Manuális, Letiltva | 1.1.0 |
| Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Személyes adatok kifejezett hozzájárulása
Azonosító: SOC 2 Type 2 P3.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A PII gyűjtése közvetlenül az egyéntől | CMA_C1822 – A PII gyűjtése közvetlenül az egyéntől | Manuális, Letiltva | 1.1.0 |
| Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
Személyes adatok felhasználása
Azonosító: SOC 2 Type 2 P4.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A személyes adatok feldolgozásának jogalapjának dokumentálása | CMA_0206 – A személyes adatok feldolgozásának jogalapjának dokumentálása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | CMA_0385 – Hozzájárulás beszerzése személyes adatok gyűjtése vagy feldolgozása előtt | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
| Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Személyes adatok megőrzése
Azonosító: SOC 2 Type 2 P4.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Dokumentumfolyamat a PII integritásának biztosításához | CMA_C1827 – Dokumentumfolyamat a PII integritásának biztosításához | Manuális, Letiltva | 1.1.0 |
Személyes adatok megsemmisítése
Azonosító: SOC 2 Type 2 P4.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Áthelyezési felülvizsgálat végrehajtása | CMA_0391 – Áthelyezési felülvizsgálat végrehajtása | Manuális, Letiltva | 1.1.0 |
| Ellenőrizze, hogy a személyes adatok törlésre kerülnek-e a feldolgozás végén | CMA_0540 – Annak ellenőrzése, hogy a személyes adatok törlésre kerülnek-e a feldolgozás végén | Manuális, Letiltva | 1.1.0 |
Személyes adatokhoz való hozzáférés
Azonosító: SOC 2 Type 2 P5.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A fogyasztói kérelmek módszereinek implementálása | CMA_0319 – A fogyasztói kérelmek módszereinek implementálása | Manuális, Letiltva | 1.1.0 |
| Az adatvédelmi törvény rekordjaihoz hozzáférő szabályok és szabályozások közzététele | CMA_C1847 – Az adatvédelmi törvény rekordjaihoz hozzáférő szabályok és szabályozások közzététele | Manuális, Letiltva | 1.1.0 |
Személyes adatok javítása
Azonosító: SOC 2 Type 2 P5.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Válasz a helyesbítési kérelmekre | CMA_0442 – Válasz a helyesbítési kérelmekre | Manuális, Letiltva | 1.1.0 |
Személyes adatok harmadik féltől származó nyilvánosságra hozatala
Azonosító: SOC 2 Type 2 P6.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
| A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
| A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
| Alvállalkozók és szolgáltatók adatvédelmi követelményeinek megállapítása | CMA_C1810 – Alvállalkozók és szolgáltatók adatvédelmi követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| A PII harmadik felek számára történő közzétételének rögzítése | CMA_0422 – A PII harmadik felek számára történő közzétételének rögzítése | Manuális, Letiltva | 1.1.0 |
| A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
A személyes adatok nyilvántartásának engedélyezett közzététele
Azonosító: SOC 2 Type 2 P6.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
Személyes adatrekord jogosulatlan közzététele
Azonosító: SOC 2 Type 2 P6.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
Harmadik felek megállapodásai
Azonosító: SOC 2 Type 2 P6.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A feldolgozók feladatainak meghatározása | CMA_0127 – A feldolgozók feladatainak meghatározása | Manuális, Letiltva | 1.1.0 |
Harmadik fél jogosulatlan közzétételi értesítése
Azonosító: SOC 2 Type 2 P6.5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
| A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
| A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
| Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
Adatvédelmi incidensről szóló értesítés
Azonosító: SOC 2 Type 2 P6.6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
Személyes adatok nyilvánosságra hozatalának könyvelése
Azonosító: SOC 2 Type 2 P6.7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az információk közzétételének pontos nyilvántartása | CMA_C1818 – Az információk közzétételének pontos nyilvántartása | Manuális, Letiltva | 1.1.0 |
| A közzétételek nyilvántartásának elérhetővé tétele kérésre | CMA_C1820 – A közzétételek számbavétele kérésre elérhetővé tétele | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
| Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Személyes adatok minősége
Azonosító: SOC 2 Type 2 P7.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A PII minőségének és integritásának megerősítése | CMA_C1821 – A PII minőségének és integritásának megerősítése | Manuális, Letiltva | 1.1.0 |
| Az adatminőség és az integritás biztosításának irányelvei | CMA_C1824 – Az adatminőség és az integritás biztosításának irányelvei | Manuális, Letiltva | 1.1.0 |
| Pontatlan vagy elavult PII ellenőrzése | CMA_C1823 – Pontatlan vagy elavult PII ellenőrzése | Manuális, Letiltva | 1.1.0 |
Adatvédelmi panaszkezelés és megfelelőségkezelés
Azonosító: SOC 2 Type 2 P8.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatvédelmi panaszkezelési eljárások dokumentálása és megvalósítása | CMA_0189 – Adatvédelmi panaszkezelési eljárások dokumentálása és végrehajtása | Manuális, Letiltva | 1.1.0 |
| A PII-gazdaságok rendszeres kiértékelése és áttekintése | CMA_C1832 – A PII-gazdaságok rendszeres értékelése és áttekintése | Manuális, Letiltva | 1.1.0 |
| Információbiztonság és személyes adatok védelme | CMA_0332 – Információbiztonság és személyes adatok védelme | Manuális, Letiltva | 1.1.0 |
| Panaszokra, aggodalmakra vagy kérdésekre való időben válaszol | CMA_C1853 – Panaszokra, aggodalmakra vagy kérdésekre való időben válaszol | Manuális, Letiltva | 1.1.0 |
| A PII megosztására és következményeire vonatkozó személyzet betanítása | CMA_C1871 – A PII megosztásának és következményeinek betanítása | Manuális, Letiltva | 1.1.0 |
A feldolgozási integritás további feltételei
Adatfeldolgozási definíciók
Azonosító: SOC 2 Type 2 PI1.1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatvédelmi nyilatkozat kézbesítési módszereinek implementálása | CMA_0324 – Adatvédelmi nyilatkozat kézbesítési módszereinek megvalósítása | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi nyilatkozat megadása | CMA_0414 – Adatvédelmi nyilatkozat megadása | Manuális, Letiltva | 1.1.0 |
| Kommunikáció korlátozása | CMA_0449 – Kommunikáció korlátozása | Manuális, Letiltva | 1.1.0 |
Rendszerbemenetek teljesség és pontosság felett
Azonosító: SOC 2 Type 2 PI1.2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatbeviteli ellenőrzés végrehajtása | CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása | Manuális, Letiltva | 1.1.0 |
Rendszerfeldolgozás
Azonosító: SOC 2 Type 2 PI1.3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Hibaüzenetek létrehozása | CMA_C1724 – Hibaüzenetek létrehozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Adatbeviteli ellenőrzés végrehajtása | CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A rendszer kimenete teljes, pontos és időz
Azonosító: SOC 2 Type 2 PI1.4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
A bemenetek és kimenetek tárolása teljesen, pontosan és időben
Azonosító: SOC 2 Type 2 PI1.5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági mentési szabályzatok és eljárások létrehozása | CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
| A biztonsági mentési adatok külön tárolása | CMA_C1293 – A biztonsági mentési adatok külön tárolása | Manuális, Letiltva | 1.1.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.