Бөлісу құралы:


Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3

В следующей статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям сопоставляется с областями соответствия нормативным требованиям и директивами в стандарте CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием CMMC уровня 3. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.

Далее представлены сопоставления для директив CMMC уровня 3. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы CMMC уровня 3 по обеспечению соответствия нормативным требованиям.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Управление доступом

Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы).

Id: CMMC L3 AC.1.001 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям.

Id: CMMC L3 AC.1.002 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Проверка и ограничение или администрирование подключений и использования внешних информационных систем.

Id: CMMC L3 AC.1.003 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0

Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей.

Id: CMMC L3 AC.2.007 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4

Использование непривилегированных учетных записей или ролей при доступе к функциям, не связанным с безопасностью.

Id: CMMC L3 AC.2.008 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Назначение прав пользователя", разрешающие локальный вход в систему, RDP, доступ из сети и многие другие действия пользователей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Мониторинг сеансов удаленного доступа и управление ими.

Id: CMMC L3 AC.2.013 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями

Id: CMMC L3 AC.2.016 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий

Id: CMMC L3 AC.3.017 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Аудит компьютеров с Windows без любого из указанных участников в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. auditIfNotExists 2.0.0
Аудит компьютеров Windows с указанными участниками в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. auditIfNotExists 2.0.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Запрет непривилегированным пользователям выполнять привилегированные действия, а также собирать сведения о выполнении таких действий в журналах аудита.

Id: CMMC L3 AC.3.018 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Использование привилегий" для аудита неконфиденциальных данных и другого использования привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью.

Id: CMMC L3 AC.3.021 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Назначение прав пользователя", разрешающие локальный вход в систему, RDP, доступ из сети и многие другие действия пользователей. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Аудит и система отчетности

Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий.

Id: CMMC L3 AU.2.041 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). AuditIfNotExists, Disabled 1.0.0
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
Виртуальные машины должны быть подключены к указанной рабочей области Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. AuditIfNotExists, Disabled 1.1.0
На виртуальных машинах должно быть установлено расширение Log Analytics Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1

Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении

Id: CMMC L3 AU.2.042 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
Журнал действий должен храниться как минимум один год Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). AuditIfNotExists, Disabled 1.0.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
Виртуальные машины должны быть подключены к указанной рабочей области Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. AuditIfNotExists, Disabled 1.1.0
На виртуальных машинах должно быть установлено расширение Log Analytics Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1

Предупреждение в случае сбоя процесса ведения журнала аудита

Id: CMMC L3 AU.3.046 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
Виртуальные машины должны быть подключены к указанной рабочей области Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. AuditIfNotExists, Disabled 1.1.0

Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев.

Id: CMMC L3 AU.3.048 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
В приложениях Службы приложений должны быть включены журналы ресурсов Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 2.0.1
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
В Центре Интернета вещей должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 3.1.0
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
Виртуальные машины должны быть подключены к указанной рабочей области Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. AuditIfNotExists, Disabled 1.1.0
На виртуальных машинах должно быть установлено расширение Log Analytics Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1

Защита сведений и инструментов аудита от несанкционированного доступа, изменения и удаления.

Id: CMMC L3 AU.3.049 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Аудит параметра диагностики для выбранных типов ресурсов Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. Проверить, если не существует 2.0.1

Оценка безопасности

Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях.

Id: CMMC L3 CA.2.158 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности.

Id: CMMC L3 CA.3.161 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Управление конфигурацией

Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы.

Id: CMMC L3 CM.2.061 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 2.2.0

Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей.

Id: CMMC L3 CM.2.062 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Использование привилегий" для аудита неконфиденциальных данных и другого использования привилегий. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Мониторинг установленного пользователем программного обеспечения и управление им

Id: CMMC L3 CM.2.063 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — контроль учетных записей" для режима администраторов, процедуры запроса на повышение прав, а также виртуализации сбоев при записи в файлы и реестр. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации.

Id: CMMC L3 CM.2.064 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Отслеживание, проверка, утверждение или отклонение, а также регистрация изменений в системах организации.

Id: CMMC L3 CM.2.065 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Политики аудита системы — Изменение политики" для аудита изменений в политиках аудита системы. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб.

Id: CMMC L3 CM.3.068 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0

Идентификация и аутентификация

Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации.

Идентификатор: ВЛАДЕНИЕ CMMC L3 IA.1.077: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Linux с учетными записями без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. AuditIfNotExists, Disabled 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей.

Id: CMMC L3 IA.2.078 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Linux с учетными записями без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Windows без включенного параметра сложности пароля Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов AuditIfNotExists, Disabled 2.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Запрет на повторное использование пароля в указанном числе поколений

Id: CMMC L3 IA.2.079 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 AuditIfNotExists, Disabled 2.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Хранение и передача только криптографически защищенных паролей

Id: CMMC L3 IA.2.081 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Использование многофакторной проверки подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к непривилегированным учетным записям

Id: CMMC L3 IA.3.083 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0

Использование механизмов аутентификации с защитой от повторных атак для сетевого доступа к привилегированным и непривилегированным учетным записям.

Id: CMMC L3 IA.3.084 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Реакция на инцидент

Создание в организации возможности обработки инцидентов для систем организации, включая действия по подготовке, обнаружению, анализу, изоляции, восстановлению и реагированию пользователей.

Id: CMMC L3 IR.2.092 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Обнаружение событий и информирование о них.

Id: CMMC L3 IR.2.093 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Развертывание Расширенной защиты от угроз для учетных записей Cosmos DB Эта политика включает Расширенную защиту от угроз для учетных записей Cosmos DB. DeployIfNotExists, Disabled 1.0.0
Развертывание Defender для хранилища (классической) в учетных записях хранения Эта политика включает Defender для хранилища (классической) в учетных записях хранения. DeployIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.2.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Восстановление

Регулярное создание и проверка резервных копий данных.

Id: CMMC L3 RE.2.137 Ownership: Customer

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0

Регулярное создание полных, комплексных и устойчивых резервных копий данных в соответствии с политиками организации.

Идентификатор: CMMC L3 RE.3.139 Владение: Клиент

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0

конфиденциальности

Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации.

Id: CMMC L3 RM.2.141 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают

Id: CMMC L3 RM.2.142 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Устранение уязвимостей в соответствии с оценками рисков.

Id: CMMC L3 RM.2.143 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. Audit, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Управление рисками

Периодическая оценка для определения и ранжирования рисков в соответствии с их определенными категориями, источниками и критериями оценки.

Id: CMMC L3 RM.3.144 Ответственность: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure Audit, Disabled 1.1.0

Защита системы и средств передачи данных

Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации

Id: CMMC L3 SC.1.175 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей

Id: CMMC L3 SC.1.176 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0

Использование зашифрованных сеансов для управления сетевыми устройствами.

Id: CMMC L3 SC.2.179 Ownership: Customer

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0

Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации.

Id: CMMC L3 SC.3.177 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. Audit, Deny, Disabled 2.2.0
Служба "Azure API для FHIR" должна использовать для шифрования неактивных данных ключ, управляемый клиентом Используйте ключи, управляемые клиентом, чтобы управлять шифрованием неактивных данных, хранящихся в службе "Azure API для FHIR", если это предусмотрено нормативными требованиями. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). audit, Audit, disabled, Disabled 1.1.0
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 1.0.0
Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. Audit, Deny, Disabled 1.0.0
Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). Audit, Deny, Disabled 1.0.0
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
В Azure Data Explorer должно быть включено шифрование дисков Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Audit, Deny, Disabled 2.0.0
В Azure Data Explorer должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 2.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. Audit, Deny, Disabled 1.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 Audit, Deny, Disabled 1.0.0
Ключи должны иметь указанный тип шифрования RSA или EC Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). Audit, Deny, Disabled 1.0.1
У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. Audit, Deny, Disabled 1.0.1
Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. Audit, Deny, Disabled 1.0.1
Требовать шифрование учетных записей Data Lake Store Эта политика активирует шифрование во всех учетных записях Data Lake Storage запретить 1.0.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.1
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled 1.0.3
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах.

Id: CMMC L3 SC.3.180 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0

Отделение пользовательских функций от функций управления системой.

Id: CMMC L3 SC.3.181 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Аудит компьютеров Windows с указанными участниками в группе администраторов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. auditIfNotExists 2.0.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений).

Id: CMMC L3 SC.3.183 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Средства CORS не должны разрешать всем доменам доступ к API для FHIR Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему API для FHIR. Чтобы защитить API для FHIR, запретите доступ для всех доменов и явно укажите домены, которым разрешено подключаться. audit, Audit, disabled, Disabled 1.1.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов MySQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для MySQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.1.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть. Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов. Audit, Deny, Disabled 3.1.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0
Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — доступ к сети", в том числе для доступа анонимных пользователей, локальных учетных записей и удаленного доступа к реестру. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности.

Id: CMMC L3 SC.3.185 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Создание криптографических ключей и управление ими для шифрования в системах организации.

Id: CMMC L3 SC.3.187 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Для ключей Key Vault должна быть задана дата окончания срока действия Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0
В хранилищах ключей должно быть включено обратимое удаление Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. Audit, Deny, Disabled 3.0.0
Ключи должны иметь указанный тип шифрования RSA или EC Некоторые приложения требуют использовать ключи, поддерживаемых определенным типом шифрования. Принудительно используйте в своей среде определенный тип криптографического ключа (RSA или EC). Audit, Deny, Disabled 1.0.1
У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых Для ключей, защищенных шифрованием на основе эллиптических кривых, могут использоваться различные эллиптические кривые. Некоторые приложения совместимы только с ключами для определенной эллиптической кривой. Принудительно применяйте типы ключей с поддержкой эллиптических кривых, которые разрешено создавать в вашей среде. Audit, Deny, Disabled 1.0.1
Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа Задайте минимально допустимый размер ключа, который может использоваться с вашими хранилищами ключей. Использование ключей RSA небольшого размера небезопасно и не соответствует многим отраслевым требованиям к сертификации. Audit, Deny, Disabled 1.0.1

Защита подлинности для сеансов обмена данными.

Id: CMMC L3 SC.3.190 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав минимальный размер ключа для сертификатов RSA, хранящихся в хранилище ключей. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Защита конфиденциальности неактивной контролируемой несекретной информации

Идентификатор: совместное владение CMMC L3 SC.3.191: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 1.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
В Azure Data Explorer должно быть включено шифрование дисков Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Audit, Deny, Disabled 2.0.0
В Azure Data Explorer должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 2.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. Audit, Deny, Disabled 1.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 Audit, Deny, Disabled 1.0.0
Требовать шифрование учетных записей Data Lake Store Эта политика активирует шифрование во всех учетных записях Data Lake Storage запретить 1.0.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

Целостность системы и данных

Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях.

Id: CMMC L3 SI.1.210: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.0.1
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.0.1
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. Audit, Disabled 1.0.2
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0

Защита от вредоносного кода в соответствующих расположениях в информационных системах организации.

Id: CMMC L3 SI.1.211: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). AuditIfNotExists, Disabled 1.1.0

Обновление механизмов защиты от вредоносного кода при доступности новых выпусков.

Id: CMMC L3 SI.1.212 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0

Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов.

Id: CMMC L3 SI.1.213 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). AuditIfNotExists, Disabled 1.1.0

Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков

Id: CMMC L3 SI.2.216 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Журналы потоков должны быть настроены для каждой группы безопасности сети Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. Audit, Disabled 1.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. Audit, Deny, Disabled 1.0.0
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. Audit, Deny, Disabled 1.0.0

Выявление незаконного использования систем организации.

Id: CMMC L3 SI.2.217 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Журнал действий должен храниться как минимум один год Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). AuditIfNotExists, Disabled 1.0.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). AuditIfNotExists, Disabled 1.0.0
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0

Следующие шаги

Дополнительные статьи о Политике Azure: