Бөлісу құралы:


Сведения о встроенной инициативе по соответствию нормативным требованиям SWIFT CSP-CSCF версии 2021

В следующей статье описано, как Политика Azure встроенное определение инициативы соответствия нормативным требованиям сопоставляется с доменами соответствия и элементами управления в SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в разделе SWIFT CSP-CSCF версии 2021. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.

Следующие сопоставления относятся к элементам управления SWIFT CSP-CSCF версии 2021 . Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите [предварительная версия]: встроенное определение инициативы swift CSP-CSCF версии 2021 по соответствию нормативным требованиям.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Защита среды SWIFT

Защита среды SWIFT

Идентификатор: SWIFT CSCF версии 2021 1.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. Реестр контейнеров должен использовать конечную точку службы для виртуальной сети Эта политика выполняет аудит всех реестров контейнеров, не настроенных для использования конечной точки службы виртуальной сети. Audit, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1
Защита от атак DDoS Azure должна быть включена Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. AuditIfNotExists, Disabled 3.0.1
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Служба Cosmos DB должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Концентратор событий должен использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех концентраторов событий, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Служба Key Vault должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Служба SQL Server должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех SQL Server, не настроенных на использование конечной точки службы виртуальной сети. AuditIfNotExists, Disabled 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетная запись хранения должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Управление привилегированными учетными записями операционной системы

Идентификатор: SWIFT CSCF версии 2021 1.2

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Защита платформы виртуализации

Идентификатор: SWIFT CSCF версии 2021 1.3

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0

Ограничение доступа к Интернету

Идентификатор: SWIFT CSCF версии 2021 1.4

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1

Сокращение направлений атак и уязвимостей

Безопасность Потока внутренних данных

Идентификатор: SWIFT CSCF версии 2021 2.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.1.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled, Deny 2.0.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 Задав в качестве минимальной версию TLS 1.2, вы усилите защиту, сделав Управляемый экземпляр SQL доступным только с клиентов, использующих TLS 1.2. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled 1.0.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Обновления для системы безопасности

Идентификатор: SWIFT CSCF версии 2021 2.2

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин Windows с отложенной перезагрузкой Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если находятся в состоянии ожидания перезагрузки по любой из следующих причин: обслуживание на основе компонентов, обновление Windows, ожидание переименования файлов, ожидание переименования компьютера, ожидание перезагрузки диспетчера конфигураций. Каждое обнаружение имеет уникальный путь реестра. auditIfNotExists 2.0.0

Усиление защиты системы

Идентификатор: SWIFT CSCF версии 2021 2.3

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. auditIfNotExists 2.0.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Безопасность Потока данных операционных отделов организации

Идентификатор: SWIFT CSCF версии 2021 2.4A

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Защита внешних передаваемых данных

Идентификатор: SWIFT CSCF версии 2021 2.5A

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Учетные записи хранения должны использовать геоизбыточное хранилище Использование геоизбыточности для создания высокодоступных приложений Audit, Disabled 1.0.0
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

Конфиденциальность и целостность данных в сеансе оператора

Идентификатор: SWIFT CSCF версии 2021 2.6

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.1.0
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled, Deny 2.0.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Управляемый экземпляр SQL должен использовать как минимум версию TLS 1.2 Задав в качестве минимальной версию TLS 1.2, вы усилите защиту, сделав Управляемый экземпляр SQL доступным только с клиентов, использующих TLS 1.2. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Audit, Disabled 1.0.1
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Сканирование уязвимостей

Идентификатор: SWIFT CSCF версии 2021 2.7

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Физическая защита среды

Физическая безопасность

Идентификатор: SWIFT CSCF версии 2021 3.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0

Предотвращение компрометации учетных данных

Политика паролей

Идентификатор: SWIFT CSCF версии 2021 4.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Linux с учетными записями без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows без включенного параметра сложности пароля Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов AuditIfNotExists, Disabled 2.1.0

Многофакторная идентификация

Идентификатор: SWIFT CSCF версии 2021 4.2

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0

Управление удостоверениями и разделение привилегий

Управление логическим доступом

Идентификатор: SWIFT CSCF версии 2021 5.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Управление маркерами

Идентификатор: SWIFT CSCF версии 2021 5.2

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0

Физическое и логическое хранилище паролей

Идентификатор: SWIFT CSCF версии 2021 5.4

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0

Обнаружение аномальных действий в системах или записях транзакций

Защита от вредоносных программ

Идентификатор: SWIFT CSCF версии 2021 6.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). AuditIfNotExists, Disabled 1.1.0

Целостность программного обеспечения

Идентификатор: SWIFT CSCF версии 2021 6.2

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0

Целостность базы данных

Идентификатор: SWIFT CSCF версии 2021 6.3

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Служба Cosmos DB должна использовать конечную точку службы виртуальной сети Эта политика выполняет аудит всех Cosmos DB, не настроенных на использование конечной точки службы виртуальной сети. Audit, Disabled 1.0.0
На серверах баз данных PostgreSQL должны быть включены журналы отключений. Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections. AuditIfNotExists, Disabled 1.0.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 3.0.0
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

Ведение журналов и мониторинг

Идентификатор: SWIFT CSCF версии 2021 6.4

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1-preview
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
Журнал действий должен храниться как минимум один год Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). AuditIfNotExists, Disabled 1.0.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). AuditIfNotExists, Disabled 1.0.0
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. AuditIfNotExists, Disabled 2.0.1
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
В Azure Data Lake Storage должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Azure Stream Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В учетных записях пакетной службы должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Центре событий должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 3.1.0
В Key Vault должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Logic Apps должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.1.0
В службах "Поиск" должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Служебной шине должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1
На виртуальных машинах должно быть установлено расширение Log Analytics Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1

Обнаружение вторжений

Идентификатор: SWIFT CSCF версии 2021 6.5A

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0

Планирование реагирования на инциденты и совместного доступа к информации

Планирование реагирования на инциденты кибербезопасности

Идентификатор: SWIFT CSCF версии 2021 7.1

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Следующие шаги

Дополнительные статьи о Политике Azure: