A SWIFT CSP v2021 jogszabályi megfelelőség beépített kezdeményezésének részletei

A következő cikk részletesen ismerteti, hogyan képezi le a Azure Policy Jogszabályi megfelelőség beépített kezdeményezésdefiníciója a megfelelőségi tartományokra és -vezérlőkre az [előzetes verzióban]: SWIFT CSCF v2021. További információ erről a megfelelőségi szabványról: [Előzetes verzió]: SWIFT CSCF v2021. A tulajdonjog megismeréséhez lásd: Azure Policy szabályzatdefiníció és megosztott felelősség a felhőben.

A következő leképezések az [előzetes verzió]: SWIFT CSCF v2021 vezérlők. A jobb oldali navigációs sávon közvetlenül egy adott megfelelőségi tartományra ugorhat. Számos vezérlő egy Azure Policy kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Házirendet a Azure Portal, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az [Előzetes verzió]: SWIFT CSCF v2021 Jogszabályi megfelelőség beépített kezdeményezési definícióját.

Fontos

Az alábbi vezérlők egy vagy több Azure Policy definícióhoz kapcsolódnak. Ezek a szabályzatok segíthetnek felmérni az ellenőrzésnek való megfelelőséget ; A vezérlők és egy vagy több szabályzat között azonban gyakran nincs egy-az-egyhez vagy teljes egyezés. Így a Megfelelő Azure Policy csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen egy vezérlő követelményeinek. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy definíció sem kezel. Ezért a Azure Policy megfelelősége csak részlegesen tekinti meg a teljes megfelelőségi állapotot. A megfelelőségi tartományok, vezérlők és Azure Policy definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.

SWIFT környezetvédelem

SWIFT környezetvédelem

Azonosító: SWIFT CSCF v2021 1.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewall Azure Security Center azt észlelte, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfallal korlátozza a hozzáférésüket. AuditIfNotExists, Disabled 3.0.0-preview
[Előzetes verzió]: Az Azure Key Vault le kell tiltania a nyilvános hálózati hozzáférést Tiltsa le a kulcstartó nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/akvprivatelink. Naplózás, megtagadás, letiltva 2.0.0-preview
[Előzetes verzió]: A Container Registrynek virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0-preview
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency ügynökkel gyűjt hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency ügynökkel gyűjt hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview
[Előzetes verzió]: A privát végpontot konfigurálni kell Key Vault A Private Link lehetővé teszi Key Vault azure-erőforrásokhoz való csatlakozást anélkül, hogy a forgalmat a nyilvános interneten keresztül küldené el. A Private Link mélységi védelmet nyújt az adatkiszivárgás ellen. Naplózás, megtagadás, letiltva 1.1.0-preview
A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Disabled 3.0.0
Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoport szabályaira, amelyek csökkentik a potenciális támadási felületet AuditIfNotExists, Disabled 3.0.0
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Azure Security Center azonosította a hálózati biztonsági csoportok bejövő szabályainak némelyikét, hogy túl megengedőek legyenek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományokból. Ez potenciálisan lehetővé teszi, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Disabled 3.0.0
App Service virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan App Service, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. AuditIfNotExists, Disabled 1.0.0
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1
Engedélyezni kell az Azure DDoS Protectiont A DDoS Protectiont minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. AuditIfNotExists, Disabled 3.0.0
A tárolóregisztrációs adatbázisoknak privát kapcsolatot kell használniuk Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célnál. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz a teljes szolgáltatás helyett, az adatszivárgási kockázatokkal szemben is védelmet kap. További információ: https://aka.ms/acr/private-link. Naplózás, letiltva 1.0.1
A Cosmos DB-nek virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan Cosmos DB-t, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0
Az Event Hubnak virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan eseményközpontot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. AuditIfNotExists, Disabled 1.0.0
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni A virtuális gépek hálózati biztonsági csoportokkal (NSG-vel) való korlátozásával védheti meg a virtuális gépeket a potenciális fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról itt: https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le kell tiltani az IP-továbbítást a virtuális gépen Az IP-továbbítás engedélyezése egy virtuális gép hálózati adapterén lehetővé teszi, hogy a gép fogadja a más célhelyekre címzett forgalmat. Az IP-továbbítás ritkán szükséges (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. AuditIfNotExists, Disabled 3.0.0
Key Vault virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan Key Vault, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban, a be- és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy network watcher erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell Azure SQL-adatbázis privát végponti kapcsolatait A privát végponti kapcsolatok biztonságos kommunikációt kényszerítenek ki azáltal, hogy engedélyezik a privát kapcsolatot Azure SQL Database-hez. Naplózás, letiltva 1.1.0
A privát végpontot engedélyezni kell MariaDB-kiszolgálókon A privát végponti kapcsolatok biztonságos kommunikációt kényszerítenek ki azáltal, hogy engedélyezik a privát kapcsolatot Azure Database for MariaDB. Konfiguráljon privát végponti kapcsolatot úgy, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-on belülit is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon A privát végponti kapcsolatok biztonságos kommunikációt kényszerítenek ki azáltal, hogy engedélyezik a privát kapcsolatot Azure Database for MySQL. Konfiguráljon privát végponti kapcsolatot úgy, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-on belülit is. AuditIfNotExists, Disabled 1.0.2
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókon A privát végponti kapcsolatok biztonságos kommunikációt kényszerítenek ki azáltal, hogy engedélyezik a privát kapcsolatot Azure Database for PostgreSQL. Konfiguráljon privát végponti kapcsolatot úgy, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-on belülit is. AuditIfNotExists, Disabled 1.0.2
Az API-alkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
Webalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
SQL Server virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan SQL Server, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. AuditIfNotExists, Disabled 1.0.0
A tárfiókok korlátozniuk kell a hálózati hozzáférést Korlátozni kell a tárfiókokhoz való hálózati hozzáférést. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a tárfiókhoz. Adott internetes vagy helyszíni ügyfelek kapcsolatainak engedélyezéséhez hozzáférés biztosítható adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Egy hálózati biztonsági csoporttal (NSG-vel) megvédheti alhálózatát a potenciális fenyegetésektől. Az NSG-k olyan Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. AuditIfNotExists, Disabled 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célnál. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát kapcsolatokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, Letiltva, Megtagadás 1.1.0

Operációs rendszer emelt szintű fiókkezelése

Azonosító: SWIFT CSCF v2021 1.2

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki, hogy csökkentse a feltört tulajdonos általi illetéktelen behatolás lehetőségét. AuditIfNotExists, Disabled 3.0.0
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz Azure Active Directory-rendszergazda kiépítésének naplózása az SQL Serverhez Azure AD hitelesítés engedélyezéséhez. Azure AD hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését AuditIfNotExists, Disabled 1.0.0
Az elavult fiókokat el kell távolítani az előfizetésből Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem jelentkezhetnek be. AuditIfNotExists, Disabled 3.0.0
A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem jelentkezhetnek be. AuditIfNotExists, Disabled 3.0.0
A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében a tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből. AuditIfNotExists, Disabled 3.0.0
Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani az előfizetésből az olvasási jogosultsággal rendelkező külső fiókokat. AuditIfNotExists, Disabled 3.0.0
Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani az előfizetésből az írási jogosultságokkal rendelkező külső fiókokat. AuditIfNotExists, Disabled 3.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0
Az API-alkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
Webalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez Az ügyfél-hitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben Naplózás, megtagadás, letiltva 1.1.0
Az előfizetéshez egynél több tulajdonosnak kell tartoznia Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki a rendszergazdai hozzáférés redundanciájával. AuditIfNotExists, Disabled 3.0.0

Virtualizációs platform védelme

Azonosító: SWIFT CSCF v2021 1.3

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felügyelt lemezeket nem használó virtuális gépek naplózása Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplóz Ellenőrzési 1.0.0

Az internet-hozzáférés korlátozása

Azonosító: SWIFT CSCF v2021 1.4

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a fürthöz. Naplózás, letiltva 2.0.1

Támadási felület és biztonsági rések csökkentése

Belső Adatfolyam biztonság

Azonosító: SWIFT CSCF v2021 2.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az API-alkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadásokkal szemben. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.0.0
Az Automation-fiók változóit titkosítva kell megadni Fontos engedélyezni az Automation-fiók változó adategységeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Azure SQL database-nek a TLS 1.2-es vagy újabb verzióját kell futtatnia A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL-adatbázis csak a TLS 1.2-es vagy újabb verzióját használó ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. Naplózás, Letiltva, Megtagadás 2.0.0
Győződjön meg arról, hogy a WEBalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérelmekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Naplózás, letiltva 1.0.0
A függvényalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A Kubernetes-fürtök csak HTTPS-en keresztül legyenek elérhetők A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a képesség jelenleg általánosan elérhető a Kubernetes Service (AKS) és előzetes verzióban az AKS Engine és az Azure Arc-kompatibilis Kubernetes esetében. További információért látogasson el a https://aka.ms/kubepolicydoc Naplózás, megtagadás, letiltva 6.1.0
Az API-alkalmazásban a legújabb TLS-verziót kell használni Frissítés a legújabb TLS-verzióra AuditIfNotExists, Disabled 1.0.0
A legújabb TLS-verziót kell használni a függvényalkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Disabled 1.0.0
A legújabb TLS-verziót kell használni a webalkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Disabled 1.0.0
Felügyelt identitást kell használni az API-alkalmazásban Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a függvényalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a webalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A Service Fabric-fürtök clusterProtectionLevel tulajdonságának EncryptAndSign értékűnek kell lennie A Service Fabric három védelmi szintet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet annak biztosításához, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen Naplózás, megtagadás, letiltva 1.1.0
SQL Managed Instance az 1.2-es minimális TLS-verzióval kell rendelkeznie A minimális TLS-verzió 1.2-esre állítása növeli a biztonságot, mivel biztosítja, hogy a SQL Managed Instance csak a TLS 1.2-es verzióját használó ügyfelekről lehessen elérni. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. Naplózás, letiltva 1.0.1
A webalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A Windows webkiszolgálóit biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül közölt információk védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. AuditIfNotExists, Disabled 4.0.0

Biztonsági frissítések

Azonosító: SWIFT CSCF v2021 2.2

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Függőben lévő újraindítással rendelkező Windows rendszerű virtuális gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a gép újraindítása a következő okok valamelyike miatt van függőben: összetevőalapú karbantartás, Windows Update, függőben lévő fájl átnevezése, számítógép átnevezése függőben, konfigurációkezelő újraindításra vár. Minden észlelés egyedi beállításjegyzék-elérési úttal rendelkezik. auditIfNotExists 2.0.0
A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell Ellenőrizze, hogy vannak-e hiányzó rendszerbiztonsági frissítések és kritikus frissítések, amelyeket telepíteni kell, hogy a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságosak legyenek. AuditIfNotExists, Disabled 3.0.0
A rendszerfrissítéseket telepíteni kell a gépeken A kiszolgálókon hiányzó biztonságirendszer-frissítéseket a Azure Security Center figyeli javaslatként AuditIfNotExists, Disabled 4.0.0

Rendszermegszűnés

Azonosító: SWIFT CSCF v2021 2.3

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A 0644-es hozzáférési jogosultsággal nem rendelkező Linux-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a passwd fájlengedélyekkel nem rendelkező Linux rendszerű gépek 0644-esre vannak beállítva AuditIfNotExists, Disabled 3.0.0
A megadott számú napon belül lejáró tanúsítványokat tartalmazó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a megadott tárolóban lévő tanúsítványok lejárati dátuma kívül esik a paraméterként megadott napok számán. A szabályzat azt is lehetővé teszi, hogy csak adott tanúsítványokat keressen, vagy kizárjon bizonyos tanúsítványokat, és hogy jelent-e lejárt tanúsítványokról. auditIfNotExists 2.0.0
Naplózhatja azokat a Windows-beli gépeket, amelyek nem tárolnak jelszavakat visszavonható titkosítással Megköveteli, hogy az előfeltételek üzembe legyenek helyezve a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Letiltva 2.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni A lehetséges hálózati Just In Time (JIT) hozzáférést a Azure Security Center figyeli javaslatként AuditIfNotExists, Letiltva 3.0.0
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder-erőforrásokhoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Naplózás, letiltva, megtagadás 1.1.0

Back-office Adatfolyam Security

Azonosító: SWIFT CSCF v2021 2.4A

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadásokkal szemben. Az Azure Linux rendszerű virtuális gépek SSH-on keresztüli hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Letiltva 3.0.0
Az Automation-fiók változóit titkosítva kell megadni Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Győződjön meg arról, hogy a WEBalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérelmekhez. Csak érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Naplózás, letiltva 1.0.0
A függvényalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
Csak a Azure Cache for Redis biztonságos kapcsolatainak engedélyezve kell lennie Csak SSL-kapcsolat Azure Cache for Redis engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat az olyan hálózati rétegbeli támadásoktól, mint az ember a középső részen, a lehallgatás és a munkamenet-eltérítés Naplózás, megtagadás, letiltva 1.0.0
A webalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül továbbított információk védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. AuditIfNotExists, Letiltva 4.0.0

Külső adatátviteli adatvédelem

Azonosító: SWIFT CSCF v2021 2.5A

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el a webhelyre https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Felügyelt lemezeket nem használó virtuális gépek naplózása Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplóz Ellenőrzési 1.0.0
Az Automation-fiók változóit titkosítva kell megadni Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor Naplózás, megtagadás, letiltva 1.1.0
Azure Backup engedélyezni kell a Virtual Machines A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 3.0.0
A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. Teljes körű irányítással és felelősséggel rendelkezik a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. Naplózás, megtagadás, letiltva 1.1.2
A függvényalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0
A georedundáns tárolást engedélyezni kell a tárfiókokhoz Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával Naplózás, letiltva 1.0.0
A hosszú távú georedundáns biztonsági mentést engedélyezni kell Azure SQL adatbázisokhoz Ez a szabályzat naplóz minden olyan Azure SQL adatbázist, amelyen nincs engedélyezve a hosszú távú georedundáns biztonsági mentés. AuditIfNotExists, Letiltva 2.0.0
Engedélyezni kell a tárfiókokba történő biztonságos átvitelt A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak a biztonságos kapcsolatokról (HTTPS) érkező kéréseket fogadja el. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és megvédi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a középső félbeszakítástól, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 2.0.0
Az SQL-adatbázisok transzparens adattitkosítását engedélyezni kell Az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében engedélyezni kell az átlátható adattitkosítást AuditIfNotExists, Letiltva 2.0.0
A virtuális gépeknek titkosítanak ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat a számítási és tárolási erőforrások között A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak, platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítás megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Letiltva 2.0.3
A webalkalmazás csak HTTPS-en keresztül érhető el A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Naplózás, letiltva 1.0.0

Operátori munkamenet bizalmassága és integritása

Azonosító: SWIFT CSCF v2021 2.6

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Azure SQL adatbázisnak a TLS 1.2-es vagy újabb verzióját kell futtatnia A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL-adatbázis csak a TLS 1.2-es vagy újabb verzióját használó ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. Naplózás, letiltva, megtagadás 2.0.0
Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a MySQL-adatbáziskiszolgálókhoz Azure Database for MySQL támogatja a Azure Database for MySQL-kiszolgáló és az ügyfélalkalmazások csatlakoztatását a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése segít megvédeni a "középső ember" támadásokat a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a PostgreSQL-adatbáziskiszolgálókhoz Azure Database for PostgreSQL támogatja a Azure Database for PostgreSQL-kiszolgáló és az ügyfélalkalmazások csatlakoztatását a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése segít megvédeni a "középső ember" támadásokat a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. Naplózás, letiltva 1.0.1
Az API-alkalmazásban a legújabb TLS-verziót kell használni Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
A függvényalkalmazásban a legújabb TLS-verziót kell használni Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
A legújabb TLS-verziót kell használni a webalkalmazásban Frissítés a legújabb TLS-verzióra AuditIfNotExists, Letiltva 1.0.0
Csak a Azure Cache for Redis biztonságos kapcsolatainak engedélyezve kell lennie Csak SSL-kapcsolat Azure Cache for Redis engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat az olyan hálózati rétegbeli támadásoktól, mint az ember a középső részen, a lehallgatás és a munkamenet-eltérítés Naplózás, megtagadás, letiltva 1.0.0
SQL Managed Instance az 1.2 minimális TLS-verziójával kell rendelkeznie A minimális TLS-verzió 1.2-esre állítása javítja a biztonságot, mivel biztosítja, hogy a SQL Managed Instance csak a TLS 1.2-es verzióját használó ügyfelekről lehessen elérni. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. Naplózás, letiltva 1.0.1
A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül továbbított információk védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. AuditIfNotExists, Letiltva 4.0.0

Biztonságirés-vizsgálat

Azonosító: SWIFT CSCF v2021 2.7

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell az Azure Defender for App Service Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. AuditIfNotExists, Letiltva 1.0.3
Engedélyezni kell a Azure SQL-adatbáziskiszolgálókhoz készült Azure Defendert Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vault-t Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Serverst A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és megerősítési javaslatokat, valamint riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
A gépeken futó SQL-kiszolgálókhoz készült Azure Defendert engedélyezni kell Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Storage-ot Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. AuditIfNotExists, Disabled 1.0.3
Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok monitorozása. AuditIfNotExists, Disabled 4.0.0
A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Azure Security Center. AuditIfNotExists, Disabled 3.0.0
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell Azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak, a Azure Security Center figyeli javaslatként AuditIfNotExists, Disabled 3.0.0
A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. AuditIfNotExists, Disabled 3.0.0
Az SQL Server sebezhetőségi felmérési beállításainak tartalmazniuk kell egy e-mail-címet a vizsgálati jelentések fogadásához Győződjön meg arról, hogy meg van adva egy e-mail-cím a Biztonságirés-felmérési beállítások "Vizsgálati jelentések küldése" mezőjéhez. Ez az e-mail-cím a vizsgálati eredmények összegzését kapja meg, miután az SQL-kiszolgálókon rendszeres vizsgálat fut. AuditIfNotExists, Disabled 2.0.0
A sebezhetőségi felmérést engedélyezni kell a SQL Managed Instance Minden olyan SQL Managed Instance naplózása, amelyeken nincs engedélyezve az ismétlődő biztonságirés-felmérési vizsgálat. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázis lehetséges biztonsági réseit. AuditIfNotExists, Disabled 1.0.1
A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon Olyan Azure SQL kiszolgálók naplózása, amelyeken nincs engedélyezve az ismétlődő sebezhetőségi felmérési vizsgálat. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázis lehetséges biztonsági réseit. AuditIfNotExists, Disabled 2.0.0

A környezet fizikai védelme

Fizikai biztonság

Azonosító: SWIFT CSCF v2021 3.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felügyelt lemezeket nem használó virtuális gépek naplózása Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplóz Ellenőrzési 1.0.0

Hitelesítő adatok sérülésének megakadályozása

Jelszóházirend

Azonosító: SWIFT CSCF v2021 4.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Jelszó nélküli fiókok távoli kapcsolatait engedélyező Linux-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek lehetővé teszik a jelszavak nélküli fiókok távoli kapcsolatait AuditIfNotExists, Disabled 3.0.0
Jelszó nélküli fiókkal rendelkező Linux-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha jelszóval nem rendelkező fiókkal rendelkező Linux rendszerű gépek AuditIfNotExists, Disabled 3.0.0
Az előző 24 jelszó újbóli használatát lehetővé tevő Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az előző 24 jelszó újbóli használatát lehetővé tevő Windows rendszerű gépek AuditIfNotExists, Disabled 2.0.0
A legfeljebb 70 napos jelszó-korhatárt nem tartalmazó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem 70 nap AuditIfNotExists, Disabled 2.0.0
Az 1 napos minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az 1 napos minimális jelszó-korhatárt nem tartalmazó Windows rendszerű gépek AuditIfNotExists, Disabled 2.0.0
Olyan Windows-gépek naplózása, amelyeken nincs engedélyezve a jelszó összetettsége beállítás Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a jelszó összetettségét nem engedélyező Windows-gépek AuditIfNotExists, Disabled 2.0.0
Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát 14 karakterre Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörébe legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a jelszó minimális hosszát nem 14 karakterre korlátozó Windows rendszerű gépek AuditIfNotExists, Disabled 2.0.0

Multi-Factor Authentication

Azonosító: SWIFT CSCF v2021 4.2

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 3.0.0
Az MFA-t engedélyezni kell az előfizetéshez tulajdonosi engedélyekkel rendelkező fiókokon A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 3.0.0
Az MFA-t engedélyezni kell az előfizetéshez olvasási engedélyekkel rendelkező fiókokon A többtényezős hitelesítést (MFA) engedélyezni kell minden olvasási jogosultsággal rendelkező előfizetési fiókhoz, hogy megelőzze a fiókok vagy erőforrások megsértését. AuditIfNotExists, Disabled 3.0.0

Identitások kezelése és jogosultságok elkülönítése

Logikai Access Control

Azonosító: SWIFT CSCF v2021 5.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki, hogy csökkentse a feltört tulajdonos általi illetéktelen behatolás lehetőségét. AuditIfNotExists, Disabled 3.0.0
Az elavult fiókokat el kell távolítani az előfizetésből Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem jelentkezhetnek be. AuditIfNotExists, Disabled 3.0.0
A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem jelentkezhetnek be. AuditIfNotExists, Disabled 3.0.0
A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében a tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből. AuditIfNotExists, Disabled 3.0.0
Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani az előfizetésből az olvasási jogosultsággal rendelkező külső fiókokat. AuditIfNotExists, Disabled 3.0.0
Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani az előfizetésből az írási jogosultságokkal rendelkező külső fiókokat. AuditIfNotExists, Disabled 3.0.0
Az előfizetéshez egynél több tulajdonosnak kell tartoznia Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki a rendszergazdai hozzáférés redundanciájával. AuditIfNotExists, Disabled 3.0.0

Jogkivonat-kezelés

Azonosító: SWIFT CSCF v2021 5.2

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Felügyelt identitást kell használni az API-alkalmazásban Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a függvényalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A felügyelt identitást a webalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Disabled 2.0.0
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést AuditIfNotExists, Disabled 3.0.0

Fizikai és logikai jelszótároló

Azonosító: SWIFT CSCF v2021 5.4

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Naplózhatja azokat a Windows-beli gépeket, amelyek nem tárolnak jelszavakat visszavonható titkosítással Megköveteli, hogy az előfeltételek üzembe legyenek helyezve a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással AuditIfNotExists, Letiltva 2.0.0
A kulcstartók törlés elleni védelmének engedélyezve kell lennie A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A szervezet rosszindulatú insiderei potenciálisan törölhetik és törölhetik a kulcstartókat. A végleges törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével véd a belső támadásoktól. A helyreállítható törlési megőrzési időszak alatt senki sem tudja törölni a kulcstartókat a szervezeten belül vagy Microsoft. Naplózás, megtagadás, letiltva 2.0.0
Felügyelt identitást kell használni az API-alkalmazásban Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Letiltva 2.0.0
A felügyelt identitást a függvényalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Letiltva 2.0.0
A felügyelt identitást a webalkalmazásban kell használni Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében AuditIfNotExists, Letiltva 2.0.0

Rendszer- vagy tranzakciórekordok rendellenes tevékenységének észlelése

Kártevővédelem

Azonosító: SWIFT CSCF v2021 6.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra Ellenőrizze egy végpontvédelmi megoldás meglétét és állapotát a virtuálisgép-méretezési csoportokon, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. AuditIfNotExists, Letiltva 3.0.0
Microsoft Antimalware az Azure-hoz úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva Microsoft Antimalware védelmi aláírások automatikus frissítésével. AuditIfNotExists, Letiltva 1.0.0
Microsoft IaaSAntimalware-bővítményt Windows-kiszolgálókon kell üzembe helyezni Ez a szabályzat naplóz minden windowsos kiszolgálói virtuális gépet Microsoft üzembe helyezett IaaSAntimalware-bővítmény nélkül. AuditIfNotExists, Letiltva 1.0.0
Hiányzó Endpoint Protection monitorozása Azure Security Center A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat a Azure Security Center figyeli javaslatként AuditIfNotExists, Letiltva 3.0.0

Szoftverintegritás

Azonosító: SWIFT CSCF v2021 6.2

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
A Azure Kubernetes Service fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsokkal történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez gyakori követelmény számos szabályozási és iparági megfelelőségi szabványban. Naplózás, megtagadás, letiltva 1.0.0
A távoli hibakeresést ki kell kapcsolni AZ API Apps esetében A távoli hibakereséshez bejövő portokat kell megnyitni az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Letiltva 1.0.0
A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez bejövő portokat kell megnyitni a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Letiltva 1.0.0
Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez bejövő portokat kell megnyitni egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Letiltva 1.0.0

Adatbázis-integritás

Azonosító: SWIFT CSCF v2021 6.3

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Engedélyezni kell a naplózást az SQL Serveren A SQL Server naplózásának engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Letiltva 2.0.0
A Cosmos DB-nek virtuális hálózati szolgáltatásvégpontot kell használnia Ez a szabályzat naplóz minden olyan Cosmos DB-t, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0
A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. Ez a szabályzat segít a környezetben található PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. AuditIfNotExists, Letiltva 1.0.0
A georedundáns biztonsági mentést engedélyezni kell Azure Database for MariaDB Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundancia beállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
A georedundáns biztonsági mentést engedélyezni kell Azure Database for MySQL Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
A georedundáns biztonsági mentést engedélyezni kell Azure Database for PostgreSQL Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundancia beállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. Naplózás, letiltva 1.0.1
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL-adatbázison A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az adatbázis csak privát végpontról érhető el Azure SQL adatbázishoz. Ez a konfiguráció letilt minden olyan bejelentkezést, amely megfelel az IP-címnek vagy a virtuális hálózatnak a tűzfalszabályoknak. Naplózás, megtagadás, letiltva 1.1.0
MariaDB-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy a Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-címtartományon kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuális hálózatalapú tűzfalszabályoknak. Naplózás, letiltva 1.0.2
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálók esetében Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy a Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-címtartományon kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuális hálózatalapú tűzfalszabályoknak. Naplózás, letiltva 1.0.2
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy a Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományon kívüli bármely nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP-címnek vagy a virtuális hálózati tűzfalszabályoknak. Naplózás, letiltva 1.0.2
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni Incidensvizsgálati célokból javasoljuk, hogy a SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel azoknak a régióknak a megőrzési szabályainak, amelyekben üzemel. Ez néha szükséges a jogszabályi előírásoknak való megfeleléshez. AuditIfNotExists, Letiltva 3.0.0
Az SQL-adatbázisok transzparens adattitkosítását engedélyezni kell Az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében engedélyezni kell az átlátható adattitkosítást AuditIfNotExists, Letiltva 2.0.0

Naplózás és monitorozás

Azonosító: SWIFT CSCF v2021 6.4

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. AuditIfNotExists, Letiltva 2.0.1-preview
[Előzetes verzió]: A hálózati forgalom adatgyűjtési ügynökét Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Függőségi ügynök használatával gyűjti a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és a konkrét hálózati fenyegetések. AuditIfNotExists, Letiltva 1.0.2-preview
[Előzetes verzió]: A hálózati forgalom adatgyűjtési ügynökét windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Függőségi ügynök használatával gyűjti a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és a konkrét hálózati fenyegetések. AuditIfNotExists, Letiltva 1.0.2-preview
A tevékenységnaplót legalább egy évig meg kell őrizni Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). AuditIfNotExists, Letiltva 1.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás minden vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol: . módosítás 4.0.0
Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések felhasználó által hozzárendelt identitással rendelkező virtuális gépeken való engedélyezéséhez Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás minden vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol: . módosítás 4.0.0
Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el a webhelyre https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Engedélyezni kell a naplózást az SQL Serveren A SQL Server naplózásának engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. AuditIfNotExists, Letiltva 2.0.0
A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben A biztonsági rések és fenyegetések monitorozásához Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus kiépítést, hogy az ügynök automatikusan üzembe legyen helyezve az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. AuditIfNotExists, Disabled 1.0.1
Azure Backup engedélyezni kell a Virtual Machines Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Azure SQL-adatbáziskiszolgálókhoz készült Azure Defendert Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vault-t Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Serverst A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és megerősítési javaslatokat, valamint riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
A gépeken futó SQL-kiszolgálókhoz készült Azure Defendert engedélyezni kell Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Storage-ot Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. AuditIfNotExists, Disabled 1.0.3
Az Azure Monitor-naplóprofilnak naplókat kell gyűjtenie az "írás", "törlés" és "művelet" kategóriákhoz Ez a szabályzat biztosítja, hogy a naplóprofil naplókat gyűjtsön az "írás", "törlés" és "művelet" kategóriákhoz AuditIfNotExists, Disabled 1.0.0
Az Azure Monitornak minden régióból kell tevékenységnaplókat gyűjtenie Ez a szabályzat naplózza az Azure Monitor naplóprofilját, amely nem exportál tevékenységeket az Összes Azure által támogatott régióból, beleértve a globálist is. AuditIfNotExists, Disabled 2.0.0
A "Biztonság és naplózás" Azure Monitor-megoldást üzembe kell helyezni Ez a szabályzat biztosítja a Biztonság és naplózás üzembe helyezését. AuditIfNotExists, Disabled 1.0.0
A linuxos vendégkonfigurációs bővítmény üzembe helyezése vendégkonfiguráció-hozzárendelések engedélyezéséhez Linux rendszerű virtuális gépeken Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele az összes Linux-vendégkonfiguráció-hozzárendelésnek, és a Linux-vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 3.0.0
A windowsos vendégkonfigurációs bővítmény üzembe helyezése vendégkonfiguráció-hozzárendelések engedélyezéséhez Windows rendszerű virtuális gépeken Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett, vendégkonfiguráció által támogatott Windows rendszerű virtuális gépekre. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows-vendégkonfiguráció-hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. deployIfNotExists 1.2.0
A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuálisgép-rendszerkép nem szerepel a definiált listában, és a bővítmény nincs telepítve. AuditIfNotExists, Disabled 2.0.1
Engedélyezni kell az Erőforrásnaplókat az Azure Data Lake Store-ban Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az Erőforrásnaplókat az Azure Stream Analyticsben Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat Data Lake Analytics Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat az Event Hubon Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat IoT Hub Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 3.0.1
Engedélyezni kell az erőforrásnaplókat Key Vault Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat, amikor biztonsági incidens történik, vagy ha a hálózat biztonsága sérül AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Logic Appsben Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Keresési szolgáltatásokban Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat a Service Busban Erőforrásnaplók engedélyezésének naplózása. Ez lehetővé teszi a vizsgálati célokra használható tevékenységnaplók újbóli létrehozását; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén AuditIfNotExists, Disabled 5.0.0
Engedélyezni kell az erőforrásnaplókat Virtual Machine Scale Sets Javasoljuk, hogy engedélyezze a naplókat, hogy újra létre lehessen hozni a tevékenységnaplót, ha incidens vagy biztonsági sérülés esetén vizsgálatokra van szükség. AuditIfNotExists, Disabled 2.1.0
A Log Analytics-bővítményt telepíteni kell Virtual Machine Scale Sets Ez a szabályzat naplózza a Windows-/Linux-Virtual Machine Scale Sets, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1
A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. AuditIfNotExists, Disabled 1.0.1

Behatolásjelző

Azonosító: SWIFT CSCF v2021 6.5A

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency ügynökkel gyűjt hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni A Security Center a Microsoft Dependency ügynökkel gyűjt hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview
Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoport szabályaira, amelyek csökkentik a potenciális támadási felületet AuditIfNotExists, Disabled 3.0.0
Engedélyezni kell az Azure Defender for App Service-t Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell a Azure SQL-adatbáziskiszolgálókhoz készült Azure Defendert Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Key Vault-t Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. AuditIfNotExists, Disabled 1.0.3
Engedélyezni kell az Azure Defender for Serverst A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és megerősítési javaslatokat, valamint riasztásokat hoz létre a gyanús tevékenységekről. AuditIfNotExists, Disabled 1.0.3
A gépeken futó SQL-kiszolgálókhoz készült Azure Defendert engedélyezni kell Az Sql-hez készült Azure Defender funkcióval feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. AuditIfNotExists, Disabled 1.0.2
Engedélyezni kell az Azure Defender for Storage-ot Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. AuditIfNotExists, Disabled 1.0.3
Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által kezelt kulcsokkal kell titkosítani Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsokkal történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez gyakori követelmény számos szabályozási és iparági megfelelőségi szabványban. Naplózás, megtagadás, letiltva 1.0.0
A CORS nem engedélyezheti minden erőforrás számára az API-alkalmazás elérését Az eltérő eredetű erőforrások megosztása (CORS) nem engedélyezheti az összes tartomány számára az API-alkalmazás elérését. Csak a szükséges tartományok használhatják az API-alkalmazást. AuditIfNotExists, Disabled 1.0.0
A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését Az eltérő eredetű erőforrások megosztása (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. AuditIfNotExists, Disabled 1.0.0
A CORS nem engedélyezheti minden erőforrásnak, hogy hozzáférjen a webalkalmazásokhoz Az eltérő eredetű erőforrások megosztása (CORS) nem engedélyezheti az összes tartomány számára a webalkalmazás elérését. Csak a szükséges tartományok használhatják a webalkalmazást. AuditIfNotExists, Disabled 1.0.0
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban, a be- és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy network watcher erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Disabled 3.0.0
Csak a Azure Cache for Redis biztonságos kapcsolatait szabad engedélyezni Csak SSL-kapcsolat Azure Cache for Redis engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és megvédi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeldeléstől, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 1.0.0
Az API-alkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0
Webalkalmazások esetében ki kell kapcsolni a távoli hibakeresést A távoli hibakereséshez meg kell nyitni a bejövő portokat egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. AuditIfNotExists, Disabled 1.0.0

Incidenskezelés és információmegosztás tervezése

Kiberesemény-reagálás tervezése

Azonosító: SWIFT CSCF v2021 7.1

Name
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
Email magas súlyosságú riasztásokra vonatkozó értesítéseket engedélyezni kell Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mail-értesítéseket a security centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 1.0.1
Email értesítést kell engedélyezni az előfizetés tulajdonosának a nagy súlyosságú riasztásokról Ha gondoskodni szeretne arról, hogy az előfizetés tulajdonosai értesítést kapnak, amikor biztonsági incidens történik az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Centerben a nagy súlyosságú riasztásokhoz. AuditIfNotExists, Disabled 2.0.0
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mailes értesítéseket kapjon a Security Centertől. AuditIfNotExists, Disabled 1.0.1

Következő lépések

További cikkek a Azure Policy kapcsolatban: