Details van het ingebouwde initiatief FedRAMP Moderate Regulatory Compliance
In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in FedRAMP Moderate. Zie FedRAMP Moderate voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.
De volgende toewijzingen gelden voor de FedRAMP Moderate-beheeropties. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie FedRAMP Moderate Regulatory Compliance.
Belangrijk
Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.
Toegangsbeheer
Beleid en procedures voor toegangsbeheer
Id: FedRAMP Moderate AC-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor toegangsbeheer ontwikkelen | CMA_0144 - Beleid en procedures voor toegangsbeheer ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Beleidsregels en procedures beheren | CMA_0292 - Beleid en procedures beheren | Handmatig, uitgeschakeld | 1.1.0 |
Beleid en procedures voor toegangsbeheer controleren | CMA_0457 - Beleid en procedures voor toegangsbeheer controleren | Handmatig, uitgeschakeld | 1.1.0 |
Accountbeheer
Id: FedRAMP Moderate AC-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Accountbeheerders toewijzen | CMA_0015 - Accountmanagers toewijzen | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen | CMA_0117 - Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Typen informatiesysteemaccounts definiëren | CMA_0121 - Accounttypen voor informatiesysteem definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsbevoegdheden voor documenten | CMA_0186 - Toegangsrechten voor documenten | Handmatig, uitgeschakeld | 1.1.0 |
Voorwaarden instellen voor rollidmaatschap | CMA_0269 - Voorwaarden voor rollidmaatschap instellen | Handmatig, uitgeschakeld | 1.1.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accountactiviteit bewaken | CMA_0377 - Accountactiviteit bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Accountmanagers op de hoogte stellen van door de klant beheerde accounts | CMA_C1009 - Accountmanagers informeren over door de klant beheerde accounts | Handmatig, uitgeschakeld | 1.1.0 |
Verificators opnieuw toewijzen voor gewijzigde groepen en accounts | CMA_0426 - Verificators opnieuw aanvragen voor gewijzigde groepen en accounts | Handmatig, uitgeschakeld | 1.1.0 |
Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruikersaccounts controleren | CMA_0480 - Gebruikersaccounts controleren | Handmatig, uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Geautomatiseerd systeemaccountbeheer
Id: FedRAMP Moderate AC-2 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Inactieve accounts uitschakelen
Id: FedRAMP Moderate AC-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verificators uitschakelen na beëindiging | CMA_0169 - Verificators uitschakelen na beëindiging | Handmatig, uitgeschakeld | 1.1.0 |
Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde controleacties
Id: FedRAMP Moderate AC-2 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Afmelding bij inactiviteit
Id: FedRAMP Moderate AC-2 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Logboekbeleid voor inactiviteit definiëren en afdwingen | CMA_C1017 - Beleid voor inactiviteitslogboeken definiëren en afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Op rollen gebaseerde schema's
Id: FedRAMP Moderate AC-2 (7) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Accountactiviteit bewaken | CMA_0377 - Accountactiviteit bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Bevoorrechte roltoewijzing bewaken | CMA_0378 - Bevoorrechte roltoewijzing bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Privileged Identity Management gebruiken | CMA_0533 - Privileged Identity Management gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Beperkingen voor het gebruik van gedeelde groepen/accounts
Id: FedRAMP Moderate AC-2 (9) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen | CMA_0117 - Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Beëindiging van referenties voor gedeeld/groepsaccount
Id: FedRAMP Moderate AC-2 (10) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Door de klant beheerde accountreferenties beëindigen | CMA_C1022 - Door de klant beheerde accountreferenties beëindigen | Handmatig, uitgeschakeld | 1.1.0 |
Accountbewaking/atypisch gebruik
Id: FedRAMP Moderate AC-2 (12) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accountactiviteit bewaken | CMA_0377 - Accountactiviteit bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Atypisch gedrag van gebruikersaccounts rapporteren | CMA_C1025 - Atypisch gedrag van gebruikersaccounts rapporteren | Handmatig, uitgeschakeld | 1.1.0 |
Afdwinging van toegang
Id: FedRAMP Moderate AC-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Afdwinging van gegevensstromen
Id: FedRAMP Moderate AC-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.1-afgeschaft |
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Fysieke/logische scheiding van informatiestromen
Id: FedRAMP Moderate AC-4 (21) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiestandaarden voor firewall en router instellen | CMA_0272 - Configuratiestandaarden voor firewall en router instellen | Handmatig, uitgeschakeld | 1.1.0 |
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving | CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder | Handmatig, uitgeschakeld | 1.1.0 |
Downstreaminformatie-uitwisselingen identificeren en beheren | CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Scheiding van taken
Id: FedRAMP Moderate AC-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toegangsautorisaties definiëren ter ondersteuning van scheiding van taken | CMA_0116 - Toegangsautorisaties definiëren om scheiding van taken te ondersteunen | Handmatig, uitgeschakeld | 1.1.0 |
Documentscheiding van taken | CMA_0204 - Scheiding van taken | Handmatig, uitgeschakeld | 1.1.0 |
Afzonderlijke taken van personen | CMA_0492 - Afzonderlijke taken van personen | Handmatig, uitgeschakeld | 1.1.0 |
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Minimale bevoegdheden
Id: FedRAMP Moderate AC-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot beveiligingsfuncties autoriseren
Id: FedRAMP Moderate AC-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Bevoegde accounts
Id: FedRAMP Moderate AC-6 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
Het gebruik van bevoegde functies controleren
Id: FedRAMP Moderate AC-6 (9) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
Voer een volledige tekstanalyse uit van vastgelegde opdrachten met bevoegdheden | CMA_0056 - Voer een volledige tekstanalyse uit van vastgelegde bevoegde opdrachten | Handmatig, uitgeschakeld | 1.1.0 |
Bevoorrechte roltoewijzing bewaken | CMA_0378 - Bevoorrechte roltoewijzing bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
Privileged Identity Management gebruiken | CMA_0533 - Privileged Identity Management gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Mislukte aanmeldingspogingen
Id: FedRAMP Moderate AC-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een limiet afdwingen van opeenvolgende mislukte aanmeldingspogingen | CMA_C1044 - Een limiet afdwingen van opeenvolgende mislukte aanmeldingspogingen | Handmatig, uitgeschakeld | 1.1.0 |
Gelijktijdige sessies beheren
Id: FedRAMP Moderate AC-10 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
De limiet van gelijktijdige sessies definiëren en afdwingen | CMA_C1050 - De limiet van gelijktijdige sessies definiëren en afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Sessiebeëindiging
Id: FedRAMP Moderate AC-12 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Gebruikerssessie automatisch beëindigen | CMA_C1054 - Gebruikerssessie automatisch beëindigen | Handmatig, uitgeschakeld | 1.1.0 |
Toegestane acties zonder identificatie of verificatie
Id: FedRAMP Moderate AC-14 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Acties identificeren die zonder verificatie zijn toegestaan | CMA_0295 - Acties identificeren die zijn toegestaan zonder verificatie | Handmatig, uitgeschakeld | 1.1.0 |
Externe toegang
Id: FedRAMP Moderate AC-17 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.1-afgeschaft |
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Spring Cloud moet netwerkinjectie gebruiken | Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. | Controleren, uitgeschakeld, weigeren | 1.2.0 |
Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Training voor documentmobiliteit | CMA_0191 - Training voor documentmobiliteit | Handmatig, uitgeschakeld | 1.1.0 |
Richtlijnen voor externe toegang document | CMA_0196 - Richtlijnen voor externe toegang document | Handmatig, uitgeschakeld | 1.1.0 |
Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Privacytraining bieden | CMA_0415 - Privacytraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Geautomatiseerde bewaking/beheer
Id: FedRAMP Moderate AC-17 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.1-afgeschaft |
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Spring Cloud moet netwerkinjectie gebruiken | Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. | Controleren, uitgeschakeld, weigeren | 1.2.0 |
Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Bescherming van vertrouwelijkheid/integriteit met behulp van versleuteling
Id: FedRAMP Moderate AC-17 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | Handmatig, uitgeschakeld | 1.1.0 |
Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Beheerde toegangsbeheerpunten
Id: FedRAMP Moderate AC-17 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verkeer routeren via beheerde netwerktoegangspunten | CMA_0484 - Verkeer routeren via beheerde netwerktoegangspunten | Handmatig, uitgeschakeld | 1.1.0 |
Bevoegde opdrachten/toegang
Id: FedRAMP Moderate AC-17 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Externe toegang tot bevoegde opdrachten autoriseren | CMA_C1064 - Externe toegang tot bevoegde opdrachten autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Richtlijnen voor externe toegang document | CMA_0196 - Richtlijnen voor externe toegang document | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Privacytraining bieden | CMA_0415 - Privacytraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
Toegang verbreken/uitschakelen
Id: FedRAMP Moderate AC-17 (9) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Mogelijkheid bieden om externe toegang te verbreken of uit te schakelen | CMA_C1066 - Mogelijkheid bieden om externe toegang te verbreken of uit te schakelen | Handmatig, uitgeschakeld | 1.1.0 |
Draadloze toegang
Id: FedRAMP Moderate AC-18 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Richtlijnen voor draadloze toegang documenteer en implementeer deze | CMA_0190 - Richtlijnen voor draadloze toegang documenteer en implementeer deze | Handmatig, uitgeschakeld | 1.1.0 |
Draadloze toegang beveiligen | CMA_0411 - Draadloze toegang beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie en versleuteling
Id: FedRAMP Moderate AC-18 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Richtlijnen voor draadloze toegang documenteer en implementeer deze | CMA_0190 - Richtlijnen voor draadloze toegang documenteer en implementeer deze | Handmatig, uitgeschakeld | 1.1.0 |
Netwerkapparaten identificeren en verifiëren | CMA_0296 - Netwerkapparaten identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
Draadloze toegang beveiligen | CMA_0411 - Draadloze toegang beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsbeheer voor mobiele apparaten
Id: FedRAMP Moderate AC-19 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisten voor mobiele apparaten definiëren | CMA_0122 - Vereisten voor mobiele apparaten definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Volledige apparaat-/containerversleuteling
Id: FedRAMP Moderate AC-19 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisten voor mobiele apparaten definiëren | CMA_0122 - Vereisten voor mobiele apparaten definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van externe informatiesystemen
Id: FedRAMP Moderate AC-20 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voorwaarden instellen voor toegang tot resources | CMA_C1076 - Voorwaarden instellen voor toegang tot resources | Handmatig, uitgeschakeld | 1.1.0 |
Voorwaarden voor het verwerken van resources instellen | CMA_C1077 - Voorwaarden voor het verwerken van resources instellen | Handmatig, uitgeschakeld | 1.1.0 |
Limieten voor geautoriseerd gebruik
Id: FedRAMP Moderate AC-20 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingscontroles voor externe informatiesystemen controleren | CMA_0541 - Beveiligingscontroles voor externe informatiesystemen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Draagbare opslagapparaten
Id: FedRAMP Moderate AC-20 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Het gebruik van draagbare opslagapparaten beheren | CMA_0083 - Het gebruik van draagbare opslagapparaten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Informatie delen
Id: FedRAMP Moderate AC-21 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beslissingen voor het delen van gegevens automatiseren | CMA_0028 - Beslissingen over het delen van gegevens automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
Het delen van informatie vergemakkelijken | CMA_0284 - Informatie delen vergemakkelijken | Handmatig, uitgeschakeld | 1.1.0 |
Openbaar toegankelijke inhoud
Id: FedRAMP Moderate AC-22 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Geautoriseerd personeel aanwijzen om openbaar toegankelijke informatie te posten | CMA_C1083 - Geautoriseerd personeel aanwijzen om openbaar toegankelijke informatie te posten | Handmatig, uitgeschakeld | 1.1.0 |
Inhoud controleren voordat u openbaar toegankelijke informatie plaatst | CMA_C1085 - Inhoud controleren voordat u openbaar toegankelijke informatie plaatst | Handmatig, uitgeschakeld | 1.1.0 |
Openbaar toegankelijke inhoud voor niet-openbare informatie controleren | CMA_C1086 - Openbaar toegankelijke inhoud voor niet-openbare informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
Personeel trainen over openbaarmaking van niet-openbare informatie | CMA_C1084 - Personeel trainen over openbaarmaking van niet-openbare informatie | Handmatig, uitgeschakeld | 1.1.0 |
Bewustzijn en training
Beleid en procedures voor beveiligingsbewustzijn en -training
Id: FedRAMP Moderate AT-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Trainingsactiviteiten voor beveiliging en privacy document | CMA_0198 - Trainingsactiviteiten voor documentbeveiliging en privacy | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsbeleid bijwerken | CMA_0518 - Informatiebeveiligingsbeleid bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Training in beveiligingsbewustzijn
Id: FedRAMP Moderate AT-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Periodieke training voor beveiligingsbewustzijn bieden | CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstraining bieden voor nieuwe gebruikers | CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers | Handmatig, uitgeschakeld | 1.1.0 |
Bijgewerkte training voor beveiligingsbewustzijn bieden | CMA_C1090 - Bijgewerkte training voor beveiligingsbewustzijn bieden | Handmatig, uitgeschakeld | 1.1.0 |
Insider-bedreiging
Id: FedRAMP Moderate AT-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Training voor beveiligingsbewustzijn bieden voor bedreigingen van insiders | CMA_0417 - Training voor beveiligingsbewustzijn bieden voor bedreigingen van binnenin | Handmatig, uitgeschakeld | 1.1.0 |
Op rollen gebaseerde beveiligingstraining
Id: FedRAMP Moderate AT-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Periodieke beveiligingstraining op basis van rollen bieden | CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden | Handmatig, uitgeschakeld | 1.1.0 |
Op rollen gebaseerde beveiligingstraining bieden | CMA_C1094 - Op rollen gebaseerde beveiligingstraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstraining bieden voordat u toegang verleent | CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstrainingsrecords
Id: FedRAMP Moderate AT-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Trainingsactiviteiten voor beveiliging en privacy document | CMA_0198 - Trainingsactiviteiten voor documentbeveiliging en privacy | Handmatig, uitgeschakeld | 1.1.0 |
Voltooiing van beveiligings- en privacytraining bewaken | CMA_0379 - Voltooiing van beveiligings- en privacytraining controleren | Handmatig, uitgeschakeld | 1.1.0 |
Trainingsrecords behouden | CMA_0456 - Trainingsrecords behouden | Handmatig, uitgeschakeld | 1.1.0 |
Controle en verantwoordelijkheid
Beleid en procedures voor controle en verantwoording
Id: FedRAMP Moderate AU-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controle- en verantwoordingsbeleid en -procedures ontwikkelen | CMA_0154 - Beleid en procedures voor controle en verantwoording ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsbeleid en -procedures ontwikkelen | CMA_0158 - Informatiebeveiligingsbeleid en -procedures ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Beleidsregels en procedures beheren | CMA_0292 - Beleid en procedures beheren | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsbeleid bijwerken | CMA_0518 - Informatiebeveiligingsbeleid bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Controlegebeurtenissen
Id: FedRAMP Moderate AU-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
Beoordelingen en updates
Id: FedRAMP Moderate AU-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
De gebeurtenissen controleren en bijwerken die zijn gedefinieerd in AU-02 | CMA_C1106 - De gebeurtenissen controleren en bijwerken die zijn gedefinieerd in AU-02 | Handmatig, uitgeschakeld | 1.1.0 |
Inhoud van controlerecords
Id: FedRAMP Moderate AU-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
Aanvullende controlegegevens
Id: FedRAMP Moderate AU-3 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Mogelijkheden voor Azure Audit configureren | CMA_C1108 - Mogelijkheden voor Azure Audit configureren | Handmatig, uitgeschakeld | 1.1.1 |
Opslagcapaciteit controleren
Id: FedRAMP Moderate AU-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Reactie op verwerkingsfouten controleren
Id: FedRAMP Moderate AU-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
Controlebeoordeling, analyse en rapportage
Id: FedRAMP Moderate AU-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Controlerecords correleren | CMA_0087 - Auditrecords correleren | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten voor controlebeoordeling en rapportage vaststellen | CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage | Handmatig, uitgeschakeld | 1.1.0 |
Controlebeoordeling, analyse en rapportage integreren | CMA_0339 - Controlebeoordeling, analyse en rapportage integreren | Handmatig, uitgeschakeld | 1.1.0 |
Cloud-app-beveiliging integreren met een siem | CMA_0340 - Cloud-app-beveiliging integreren met een siem | Handmatig, uitgeschakeld | 1.1.0 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wekelijks beheerderstoewijzingen bekijken | CMA_0461 - Wekelijks beheerderstoewijzingen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Overzicht van cloudidentiteitsrapport bekijken | CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Gecontroleerde toegangsgebeurtenissen voor mappen controleren | CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Bestands- en mapactiviteit controleren | CMA_0473 - Bestands- en mapactiviteit controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wijzigingen in rolgroepen wekelijks controleren | CMA_0476 - Wijzigingen in rollengroep wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
Procesintegratie
Id: FedRAMP Moderate AU-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controlerecords correleren | CMA_0087 - Auditrecords correleren | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten voor controlebeoordeling en rapportage vaststellen | CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage | Handmatig, uitgeschakeld | 1.1.0 |
Controlebeoordeling, analyse en rapportage integreren | CMA_0339 - Controlebeoordeling, analyse en rapportage integreren | Handmatig, uitgeschakeld | 1.1.0 |
Cloud-app-beveiliging integreren met een siem | CMA_0340 - Cloud-app-beveiliging integreren met een siem | Handmatig, uitgeschakeld | 1.1.0 |
Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wekelijks beheerderstoewijzingen bekijken | CMA_0461 - Wekelijks beheerderstoewijzingen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Overzicht van cloudidentiteitsrapport bekijken | CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Gecontroleerde toegangsgebeurtenissen voor mappen controleren | CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Bestands- en mapactiviteit controleren | CMA_0473 - Bestands- en mapactiviteit controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wijzigingen in rolgroepen wekelijks controleren | CMA_0476 - Wijzigingen in rollengroep wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
Auditopslagplaatsen correleren
Id: FedRAMP Moderate AU-6 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controlerecords correleren | CMA_0087 - Auditrecords correleren | Handmatig, uitgeschakeld | 1.1.0 |
Cloud-app-beveiliging integreren met een siem | CMA_0340 - Cloud-app-beveiliging integreren met een siem | Handmatig, uitgeschakeld | 1.1.0 |
Controlereductie en rapportgeneratie
Id: FedRAMP Moderate AU-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleren of controlerecords niet worden gewijzigd | CMA_C1125 - Controleren of controlerecords niet worden gewijzigd | Handmatig, uitgeschakeld | 1.1.0 |
Controlebeoordeling, analyse en rapportagemogelijkheid bieden | CMA_C1124 - Controlebeoordeling, analyse en rapportagemogelijkheden bieden | Handmatig, uitgeschakeld | 1.1.0 |
Automatische verwerking
Id: FedRAMP Moderate AU-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Mogelijkheid bieden om door de klant beheerde auditrecords te verwerken | CMA_C1126 - Mogelijkheid bieden om door de klant beheerde auditrecords te verwerken | Handmatig, uitgeschakeld | 1.1.0 |
Tijdstempels
Id: FedRAMP Moderate AU-8 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Systeemklokken gebruiken voor controlerecords | CMA_0535 - Systeemklokken gebruiken voor controlerecords | Handmatig, uitgeschakeld | 1.1.0 |
Synchronisatie met gezaghebbende tijdbron
Id: FedRAMP Moderate AU-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Systeemklokken gebruiken voor controlerecords | CMA_0535 - Systeemklokken gebruiken voor controlerecords | Handmatig, uitgeschakeld | 1.1.0 |
Beveiliging van controlegegevens
Id: FedRAMP Moderate AU-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Dubbele of gezamenlijke autorisatie inschakelen | CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
Controlegegevens beveiligen | CMA_0401 - Controlegegevens beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Back-up controleren op afzonderlijke fysieke systemen/onderdelen
Id: FedRAMP Moderate AU-9 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Back-upbeleid en -procedures instellen | CMA_0268 - Back-upbeleid en -procedures instellen | Handmatig, uitgeschakeld | 1.1.0 |
Toegang per subset van bevoegde gebruikers
Id: FedRAMP Moderate AU-9 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controlegegevens beveiligen | CMA_0401 - Controlegegevens beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Retentie van controlerecord
Id: FedRAMP Moderate AU-11 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Controlegeneratie
Id: FedRAMP Moderate AU-12 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Beveiligingsevaluatie en autorisatie
Beleid en procedures voor beveiligingsevaluatie en autorisatie
Id: FedRAMP Moderate CA-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsevaluatie en autorisatiebeleid en -procedures controleren | CMA_C1143 - Beveiligingsevaluatie en autorisatiebeleid en -procedures controleren | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsevaluaties
Id: FedRAMP Moderate CA-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingscontroles evalueren | CMA_C1145 - Beveiligingscontroles evalueren | Handmatig, uitgeschakeld | 1.1.0 |
Resultaten van beveiligingsevaluatie leveren | CMA_C1147 - Resultaten van beveiligingsevaluatie leveren | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsevaluatieplan ontwikkelen | CMA_C1144 - Beveiligingsevaluatieplan ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Rapport Beveiligingsevaluatie produceren | CMA_C1146 - Rapport Beveiligingsevaluatie produceren | Handmatig, uitgeschakeld | 1.1.0 |
Onafhankelijke beoordelaars
Id: FedRAMP Moderate CA-2 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onafhankelijke beoordelaars gebruiken om evaluaties van beveiligingscontroles uit te voeren | CMA_C1148 - Onafhankelijke beoordelaars gebruiken om beveiligingscontroles uit te voeren | Handmatig, uitgeschakeld | 1.1.0 |
Gespecialiseerde evaluaties
Id: FedRAMP Moderate CA-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer | CMA_C1149 - Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer | Handmatig, uitgeschakeld | 1.1.0 |
Externe organisaties
Id: FedRAMP Moderate CA-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Evaluatieresultaten accepteren | CMA_C1150 - Evaluatieresultaten accepteren | Handmatig, uitgeschakeld | 1.1.0 |
Systeemverbindingen
Id: FedRAMP Moderate CA-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Interconnectiebeveiligingsovereenkomsten vereisen | CMA_C1151 - Interconnectiebeveiligingsovereenkomsten vereisen | Handmatig, uitgeschakeld | 1.1.0 |
Interconnectiebeveiligingsovereenkomsten bijwerken | CMA_0519 - Beveiligingsovereenkomsten voor interconnectie bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Niet-geclassificeerde niet-nationale beveiligingssysteemverbindingen
Id: FedRAMP Moderate CA-3 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Beperkingen voor externe systeemverbindingen
Id: FedRAMP Moderate CA-3 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beperkingen toepassen op externe systeemverbindingen | CMA_C1155 - Beperkingen toepassen op externe systeemverbindingen | Handmatig, uitgeschakeld | 1.1.0 |
Actieplan en mijlpalen
Id: FedRAMP Moderate CA-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
POA&M ontwikkelen | CMA_C1156 - POA&M ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
POA&M-items bijwerken | CMA_C1157 - POA&M-items bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsautorisatie
Id: FedRAMP Moderate CA-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een gemachtigde (AO) toewijzen | CMA_C1158 - Een autoriserende ambtenaar (AO) toewijzen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of resources zijn geautoriseerd | CMA_C1159 - Controleren of resources zijn geautoriseerd | Handmatig, uitgeschakeld | 1.1.0 |
De beveiligingsautorisatie bijwerken | CMA_C1160 - De beveiligingsautorisatie bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Doorlopende bewaking
Id: FedRAMP Moderate CA-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Whitelist voor detectie configureren | CMA_0068 - Whitelist voor detectie configureren | Handmatig, uitgeschakeld | 1.1.0 |
Sensoren inschakelen voor eindpuntbeveiligingsoplossing | CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing | Handmatig, uitgeschakeld | 1.1.0 |
Onafhankelijke beveiligingsbeoordeling ondergaan | CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan | Handmatig, uitgeschakeld | 1.1.0 |
Onafhankelijke evaluatie
Id: FedRAMP Moderate CA-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onafhankelijke beoordelaars gebruiken voor continue bewaking | CMA_C1168 - Onafhankelijke beoordelaars gebruiken voor continue bewaking | Handmatig, uitgeschakeld | 1.1.0 |
Onafhankelijke penetratieagent of team
Id: FedRAMP Moderate CA-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onafhankelijk team inzetten voor penetratietests | CMA_C1171 - Onafhankelijk team inzetten voor penetratietests | Handmatig, uitgeschakeld | 1.1.0 |
Interne systeemverbindingen
Id: FedRAMP Moderate CA-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Controleren op privacy- en beveiligingsnaleving voordat u interne verbindingen tot stand kunt brengen | CMA_0053 - Controleren op privacy- en beveiligingsnaleving voordat u interne verbindingen tot stand kunt brengen | Handmatig, uitgeschakeld | 1.1.0 |
Configuration Management
Beleid en procedures voor configuratiebeheer
Id: FedRAMP Moderate CM-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor configuratiebeheer controleren en bijwerken | CMA_C1175 - Beleid en procedures voor configuratiebeheer controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Basislijnconfiguratie
Id: FedRAMP Moderate CM-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Acties configureren voor niet-compatibele apparaten | CMA_0062 - Acties configureren voor niet-compatibele apparaten | Handmatig, uitgeschakeld | 1.1.0 |
Basislijnconfiguraties ontwikkelen en onderhouden | CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Een configuratiebeheerbord instellen | CMA_0254 - Een configuratiebeheerbord instellen | Handmatig, uitgeschakeld | 1.1.0 |
Een configuratiebeheerplan instellen en documenteer | CMA_0264 - Een configuratiebeheerplan maken en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Automatiseringsondersteuning voor nauwkeurigheid/valuta
Id: FedRAMP Moderate CM-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Acties configureren voor niet-compatibele apparaten | CMA_0062 - Acties configureren voor niet-compatibele apparaten | Handmatig, uitgeschakeld | 1.1.0 |
Basislijnconfiguraties ontwikkelen en onderhouden | CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Een configuratiebeheerbord instellen | CMA_0254 - Een configuratiebeheerbord instellen | Handmatig, uitgeschakeld | 1.1.0 |
Een configuratiebeheerplan instellen en documenteer | CMA_0264 - Een configuratiebeheerplan maken en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Retentie van eerdere configuraties
Id: FedRAMP Moderate CM-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vorige versies van basislijnconfiguraties behouden | CMA_C1181 : vorige versies van basislijnconfiguraties behouden | Handmatig, uitgeschakeld | 1.1.0 |
Systemen, onderdelen of apparaten configureren voor gebieden met een hoog risico
Id: FedRAMP Moderate CM-2 (7) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsmaatregelen garanderen die niet nodig zijn wanneer de personen terugkeren | CMA_C1183 - Beveiligingsmaatregelen garanderen die niet nodig zijn wanneer de personen terugkeren | Handmatig, uitgeschakeld | 1.1.0 |
Niet toestaan dat informatiesystemen worden begeleid bij personen | CMA_C1182 - Niet toestaan dat informatiesystemen worden begeleid bij personen | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiewijzigingsbeheer
Id: FedRAMP Moderate CM-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een beveiligingsimpactanalyse uitvoeren | CMA_0057 - Een beveiligingsimpactanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiebeheervereisten instellen voor ontwikkelaars | CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen | Handmatig, uitgeschakeld | 1.1.0 |
Een privacyimpactbeoordeling uitvoeren | CMA_0387 - Een privacyimpactbeoordeling uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Controle uitvoeren voor configuratiewijzigingsbeheer | CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer | Handmatig, uitgeschakeld | 1.1.0 |
Impactanalyse voor beveiliging
Id: FedRAMP Moderate CM-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een beveiligingsimpactanalyse uitvoeren | CMA_0057 - Een beveiligingsimpactanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiebeheervereisten instellen voor ontwikkelaars | CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen | Handmatig, uitgeschakeld | 1.1.0 |
Een privacyimpactbeoordeling uitvoeren | CMA_0387 - Een privacyimpactbeoordeling uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Controle uitvoeren voor configuratiewijzigingsbeheer | CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsbeperkingen voor wijziging
Id: FedRAMP Moderate CM-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde afdwinging van toegang/controle
Id: FedRAMP Moderate CM-5 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toegangsbeperkingen afdwingen en controleren | CMA_C1203 - Toegangsbeperkingen afdwingen en controleren | Handmatig, uitgeschakeld | 1.1.0 |
Ondertekende onderdelen
Id: FedRAMP Moderate CM-5 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Installatie van niet-geautoriseerde software en firmware beperken | CMA_C1205 - Installatie van niet-geautoriseerde software en firmware beperken | Handmatig, uitgeschakeld | 1.1.0 |
Productie/operationele bevoegdheden beperken
Id: FedRAMP Moderate CM-5 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Bevoegdheden beperken om wijzigingen aan te brengen in de productieomgeving | CMA_C1206 : bevoegdheden beperken om wijzigingen aan te brengen in de productieomgeving | Handmatig, uitgeschakeld | 1.1.0 |
Bevoegdheden controleren en opnieuw evalueren | CMA_C1207 - Bevoegdheden controleren en opnieuw evalueren | Handmatig, uitgeschakeld | 1.1.0 |
Configuratie-instellingen
Id: FedRAMP Moderate CM-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Geautomatiseerd centraal beheer/toepassing/verificatie
Id: FedRAMP Moderate CM-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Naleving van cloudserviceproviders beheren | CMA_0290 - Naleving van cloudserviceproviders beheren | Handmatig, uitgeschakeld | 1.1.0 |
Diagnostische gegevens van het systeem weergeven en configureren | CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren | Handmatig, uitgeschakeld | 1.1.0 |
Minste functionaliteit
Id: FedRAMP Moderate CM-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Inventarisatie van informatiesysteemonderdelen
Id: FedRAMP Moderate CM-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een gegevensinventaris maken | CMA_0096 - Een gegevensinventaris maken | Handmatig, uitgeschakeld | 1.1.0 |
Records bijhouden van de verwerking van persoonsgegevens | CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden | Handmatig, uitgeschakeld | 1.1.0 |
Updates tijdens installaties/verwijderingen
Id: FedRAMP Moderate CM-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een gegevensinventaris maken | CMA_0096 - Een gegevensinventaris maken | Handmatig, uitgeschakeld | 1.1.0 |
Records bijhouden van de verwerking van persoonsgegevens | CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde detectie van niet-geautoriseerde onderdelen
Id: FedRAMP Moderate CM-8 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Detectie van netwerkapparaten inschakelen | CMA_0220 - Detectie van netwerkapparaten inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiebeheerplan
Id: FedRAMP Moderate CM-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiliging van configuratieplannen maken | CMA_C1233 - Beveiliging van configuratieplan maken | Handmatig, uitgeschakeld | 1.1.0 |
Basislijnconfiguraties ontwikkelen en onderhouden | CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Configuratie-itemidentificatieplan ontwikkelen | CMA_C1231 - Configuratie-itemidentificatieplan ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiebeheerplan ontwikkelen | CMA_C1232 - Configuratiebeheerplan ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Een configuratiebeheerplan instellen en documenteer | CMA_0264 - Een configuratiebeheerplan maken en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruiksbeperkingen voor software
Id: FedRAMP Moderate CM-10 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Naleving van intellectuele-eigendomsrechten vereisen | CMA_0432 - Naleving van intellectuele-eigendomsrechten vereisen | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van softwarelicenties bijhouden | CMA_C1235 - Gebruik van softwarelicenties bijhouden | Handmatig, uitgeschakeld | 1.1.0 |
Opensource-software
Id: FedRAMP Moderate CM-10 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Het gebruik van opensource-software beperken | CMA_C1237 - Het gebruik van opensource-software beperken | Handmatig, uitgeschakeld | 1.1.0 |
Plannen voor onvoorziene gebeurtenissen
Beleid en procedures voor planning van onvoorziene gebeurtenissen
Id: FedRAMP Moderate CP-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor planning voor onvoorziene gebeurtenissen controleren en bijwerken | CMA_C1243 - Beleid en procedures voor het plannen van onvoorziene gebeurtenissen controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene gebeurtenissen
Id: FedRAMP Moderate CP-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Wijzigingen in plan voor onvoorziene gebeurtenissen communiceren | CMA_C1249 - Wijzigingen in plan voor onvoorziene gebeurtenissen doorgeven | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
Een plan voor bedrijfscontinuïteit en herstel na noodgevallen ontwikkelen en documenteer | CMA_0146 - Een plan voor bedrijfscontinuïteit en herstel na noodgevallen ontwikkelen en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene gebeurtenissen ontwikkelen | CMA_C1244 - Plan voor onvoorziene gebeurtenissen ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Beleid en procedures voor planning voor onvoorziene gebeurtenissen ontwikkelen | CMA_0156 - Beleid en procedures voor onvoorziene planning ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Beleid en procedures distribueren | CMA_0185 - Beleid en procedures distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene gebeurtenissen controleren | CMA_C1247 - Plan voor onvoorziene gebeurtenissen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene gebeurtenissen bijwerken | CMA_C1248 - Plan voor onvoorziene gebeurtenissen bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Coördineren met gerelateerde plannen
Id: FedRAMP Moderate CP-2 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
Capaciteitsplanning
Id: FedRAMP Moderate CP-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Capaciteitsplanning uitvoeren | CMA_C1252 - Capaciteitsplanning uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Essentiële missies/bedrijfsfuncties hervatten
Id: FedRAMP Moderate CP-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Plannen voor hervatting van essentiële bedrijfsfuncties | CMA_C1253 - Plannen voor hervatting van essentiële bedrijfsfuncties | Handmatig, uitgeschakeld | 1.1.0 |
Kritieke assets identificeren
Id: FedRAMP Moderate CP-2 (8) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een bedrijfsimpactbeoordeling en evaluatie van toepassingskritiek uitvoeren | CMA_0386 - Een bedrijfsimpactbeoordeling en een evaluatie van toepassingskritiek uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Training voor onvoorziene gebeurtenissen
Id: FedRAMP Moderate CP-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Training voor onvoorziene onvoorziene gegevens bieden | CMA_0412 - Training voor onvoorziene onvoorziene gegevens bieden | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor onvoorziene gebeurtenissen testen
Id: FedRAMP Moderate CP-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen | CMA_C1263 - Een plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen | Handmatig, uitgeschakeld | 1.1.0 |
Bekijk de resultaten van het testen van het plan voor onvoorziene gebeurtenissen | CMA_C1262 - Bekijk de resultaten van het testen van onvoorziene gebeurtenissen | Handmatig, uitgeschakeld | 1.1.0 |
Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen | CMA_0509 - Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen | Handmatig, uitgeschakeld | 1.1.0 |
Coördineren met gerelateerde plannen
Id: FedRAMP Moderate CP-4 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
Alternatieve opslagsite
Id: FedRAMP Moderate CP-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Zorg ervoor dat alternatieve opslagsitebeveiligingen gelijk zijn aan primaire site | CMA_C1268: zorg ervoor dat alternatieve opslagsitebeveiligingen gelijk zijn aan de primaire site | Handmatig, uitgeschakeld | 1.1.0 |
Alternatieve opslagsite instellen om back-upgegevens op te slaan en op te halen | CMA_C1267 : alternatieve opslagsite instellen om back-upgegevens op te slaan en op te halen | Handmatig, uitgeschakeld | 1.1.0 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Scheiding van primaire site
Id: FedRAMP Moderate CP-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Afzonderlijke alternatieve en primaire opslagsites maken | CMA_C1269 - Afzonderlijke alternatieve en primaire opslagsites maken | Handmatig, uitgeschakeld | 1.1.0 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Toegankelijkheid
Id: FedRAMP Moderate CP-6 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Potentiële problemen op een alternatieve opslagsite identificeren en beperken | CMA_C1271 : potentiële problemen op een alternatieve opslagsite identificeren en beperken | Handmatig, uitgeschakeld | 1.1.0 |
Alternatieve verwerkingssite
Id: FedRAMP Moderate CP-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
Een alternatieve verwerkingssite tot stand brengen | CMA_0262 - Een alternatieve verwerkingssite tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Scheiding van primaire site
Id: FedRAMP Moderate CP-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een alternatieve verwerkingssite tot stand brengen | CMA_0262 - Een alternatieve verwerkingssite tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Toegankelijkheid
Id: FedRAMP Moderate CP-7 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een alternatieve verwerkingssite tot stand brengen | CMA_0262 - Een alternatieve verwerkingssite tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Prioriteit van service
Id: FedRAMP Moderate CP-7 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een alternatieve verwerkingssite tot stand brengen | CMA_0262 - Een alternatieve verwerkingssite tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten instellen voor internetproviders | CMA_0278 - Vereisten instellen voor internetproviders | Handmatig, uitgeschakeld | 1.1.0 |
Prioriteit van servicebepalingen
Id: FedRAMP Moderate CP-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisten instellen voor internetproviders | CMA_0278 - Vereisten instellen voor internetproviders | Handmatig, uitgeschakeld | 1.1.0 |
Gegevens- en systeemback-up
Id: FedRAMP Moderate CP-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Back-up van documentatie voor informatiesysteem uitvoeren | CMA_C1289 - Back-up van documentatie voor informatiesystemen uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Back-upbeleid en -procedures instellen | CMA_0268 - Back-upbeleid en -procedures instellen | Handmatig, uitgeschakeld | 1.1.0 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
Afzonderlijke opslag voor kritieke informatie
Id: FedRAMP Moderate CP-9 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Back-upgegevens afzonderlijk opslaan | CMA_C1293 - Back-upgegevens afzonderlijk opslaan | Handmatig, uitgeschakeld | 1.1.0 |
Herstel en reconstitutie van informatiesysteem
Id: FedRAMP Moderate CP-10 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Resources herstellen en reconstitueren na eventuele onderbrekingen | CMA_C1295 - Resources herstellen en reconstitueren na eventuele onderbrekingen | Handmatig, uitgeschakeld | 1.1.1 |
Transactieherstel
Id: FedRAMP Moderate CP-10 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Herstel op basis van transacties implementeren | CMA_C1296 - Herstel op basis van transacties implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Identificatie en verificatie
Beleid en procedures voor identificatie en verificatie
Id: FedRAMP Moderate IA-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Identificatie- en verificatiebeleid en -procedures controleren en bijwerken | CMA_C1299 - Identificatie- en verificatiebeleid en -procedures controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Identificatie en verificatie (organisatiegebruikers)
Id: FedRAMP Moderate IA-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Uniekheid van gebruikers afdwingen | CMA_0250 - Uniekheid van gebruikers afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | Handmatig, uitgeschakeld | 1.1.0 |
Netwerktoegang tot bevoegde accounts
Id: FedRAMP Moderate IA-2 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Netwerktoegang tot niet-bevoegde accounts
Id: FedRAMP Moderate IA-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Lokale toegang tot bevoegde accounts
Id: FedRAMP Moderate IA-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Groepsverificatie
Id: FedRAMP Moderate IA-2 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Het gebruik van afzonderlijke verificators vereisen | CMA_C1305 : het gebruik van afzonderlijke verificators vereisen | Handmatig, uitgeschakeld | 1.1.0 |
Externe toegang - Afzonderlijk apparaat
Id: FedRAMP Moderate IA-2 (11) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Netwerkapparaten identificeren en verifiëren | CMA_0296 - Netwerkapparaten identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
Acceptatie van Piv-referenties
Id: FedRAMP Moderate IA-2 (12) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | Handmatig, uitgeschakeld | 1.1.0 |
Id-beheer
Id: FedRAMP Moderate IA-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Systeem-id's toewijzen | CMA_0018 - Systeem-id's toewijzen | Handmatig, uitgeschakeld | 1.1.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Hergebruik van id's voorkomen voor de gedefinieerde periode | CMA_C1314 : hergebruik van id's voorkomen voor de gedefinieerde periode | Handmatig, uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Gebruikersstatus identificeren
Id: FedRAMP Moderate IA-4 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
De status van afzonderlijke gebruikers identificeren | CMA_C1316 - Status van afzonderlijke gebruikers identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Verificatorbeheer
Id: FedRAMP Moderate IA-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
Authenticatortypen en -processen tot stand brengen | CMA_0267 - Authenticatortypen en -processen tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Procedures instellen voor initiële verificatordistributie | CMA_0276 - Procedures instellen voor initiële verificatordistributie | Handmatig, uitgeschakeld | 1.1.0 |
Training implementeren voor het beveiligen van verificators | CMA_0329 - Training implementeren voor het beveiligen van verificators | Handmatig, uitgeschakeld | 1.1.0 |
Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Levensduur en hergebruik van verificator beheren | CMA_0355 - Levensduur van verificator beheren en opnieuw gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Verificators beheren | CMA_C1321 - Verificators beheren | Handmatig, uitgeschakeld | 1.1.0 |
Verificators vernieuwen | CMA_0425 - Verificators vernieuwen | Handmatig, uitgeschakeld | 1.1.0 |
Verificators opnieuw toewijzen voor gewijzigde groepen en accounts | CMA_0426 - Verificators opnieuw aanvragen voor gewijzigde groepen en accounts | Handmatig, uitgeschakeld | 1.1.0 |
Identiteit verifiëren voordat verificators worden gedistribueerd | CMA_0538 - Identiteit verifiëren voordat verificators worden gedistribueerd | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie op basis van een wachtwoord
Id: FedRAMP Moderate IA-5 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Een wachtwoordbeleid instellen | CMA_0256 - Een wachtwoordbeleid instellen | Handmatig, uitgeschakeld | 1.1.0 |
Parameters implementeren voor gemoraliseerde geheime verificatoren | CMA_0321 - Parameters implementeren voor met mijmorized geheime verificatoren | Handmatig, uitgeschakeld | 1.1.0 |
Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie op basis van Pki
Id: FedRAMP Moderate IA-5 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verificators en identiteiten dynamisch binden | CMA_0035 - Bind authenticators en identiteiten dynamisch | Handmatig, uitgeschakeld | 1.1.0 |
Authenticatortypen en -processen tot stand brengen | CMA_0267 - Authenticatortypen en -processen tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
Parameters instellen voor het zoeken van geheime verificators en verificatoren | CMA_0274 - Parameters instellen voor het zoeken naar geheime verificators en verificatoren | Handmatig, uitgeschakeld | 1.1.0 |
Procedures instellen voor initiële verificatordistributie | CMA_0276 - Procedures instellen voor initiële verificatordistributie | Handmatig, uitgeschakeld | 1.1.0 |
Geverifieerde identiteiten toewijzen aan personen | CMA_0372 - Geverifieerde identiteiten toewijzen aan personen | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
Identiteit verifiëren voordat verificators worden gedistribueerd | CMA_0538 - Identiteit verifiëren voordat verificators worden gedistribueerd | Handmatig, uitgeschakeld | 1.1.0 |
Persoonlijke of vertrouwde registratie van derden
Id: FedRAMP Moderate IA-5 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verificators distribueren | CMA_0184 - Verificators distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde ondersteuning voor bepaling van wachtwoordsterkte
Id: FedRAMP Moderate IA-5 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Een wachtwoordbeleid instellen | CMA_0256 - Een wachtwoordbeleid instellen | Handmatig, uitgeschakeld | 1.1.0 |
Parameters implementeren voor gemoraliseerde geheime verificatoren | CMA_0321 - Parameters implementeren voor met mijmorized geheime verificatoren | Handmatig, uitgeschakeld | 1.1.0 |
Bescherming van verificators
Id: FedRAMP Moderate IA-5 (6) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Ervoor zorgen dat geautoriseerde gebruikers de opgegeven verificators beveiligen | CMA_C1339 : ervoor zorgen dat geautoriseerde gebruikers de opgegeven verificators beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Geen ingesloten niet-versleutelde statische verificators
Id: FedRAMP Moderate IA-5 (7) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Zorg ervoor dat er geen niet-versleutelde statische verificators zijn | CMA_C1340 - Zorg ervoor dat er geen niet-versleutelde statische verificators zijn | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie op basis van hardwaretoken
Id: FedRAMP Moderate IA-5 (11) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voldoen aan de kwaliteitsvereisten voor tokens | CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens | Handmatig, uitgeschakeld | 1.1.0 |
Feedback over Authenticator
Id: FedRAMP Moderate IA-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Informatie over feedback verbergen tijdens het verificatieproces | CMA_C1344 - Informatie over feedback verbergen tijdens het verificatieproces | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie van cryptografische module
Id: FedRAMP Moderate IA-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verifiëren bij cryptografische module | CMA_0021 - Verifiëren bij cryptografische module | Handmatig, uitgeschakeld | 1.1.0 |
Identificatie en verificatie (niet-organisatiegebruikers)
Id: FedRAMP Moderate IA-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-organisatiegebruikers identificeren en verifiëren | CMA_C1346 : niet-organisatiegebruikers identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
Acceptatie van piv-referenties van andere agentschappen
Id: FedRAMP Moderate IA-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
PIV-referenties accepteren | CMA_C1347 - PIV-referenties accepteren | Handmatig, uitgeschakeld | 1.1.0 |
Acceptatie van referenties van derden
Id: FedRAMP Moderate IA-8 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Alleen door FICAM goedgekeurde referenties van derden accepteren | CMA_C1348 - Alleen door FICAM goedgekeurde referenties van derden accepteren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van door Ficam goedgekeurde producten
Id: FedRAMP Moderate IA-8 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Ficam-goedgekeurde resources gebruiken om referenties van derden te accepteren | CMA_C1349 - Ficam-goedgekeurde resources gebruiken om referenties van derden te accepteren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van door Ficam uitgegeven profielen
Id: FedRAMP Moderate IA-8 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voldoen aan door FICAM uitgegeven profielen | CMA_C1350 - Voldoen aan door FICAM uitgegeven profielen | Handmatig, uitgeschakeld | 1.1.0 |
Incidentrespons
Beleid en procedures voor incidentrespons
Id: FedRAMP Moderate IR-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor incidentrespons controleren en bijwerken | CMA_C1352 - Beleid en procedures voor het reageren op incidenten controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Training voor het reageren op incidenten
Id: FedRAMP Moderate IR-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Training voor overloop van gegevens bieden | CMA_0413 - Informatie overlooptraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
Tests voor het reageren op incidenten
Id: FedRAMP Moderate IR-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Incidentresponstests uitvoeren | CMA_0060 : het testen van incidentreacties uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een informatiebeveiligingsprogramma opzetten | CMA_0263 - Een informatiebeveiligingsprogramma instellen | Handmatig, uitgeschakeld | 1.1.0 |
Simulatieaanvallen uitvoeren | CMA_0486 - Simulatieaanvallen uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Coördinatie met gerelateerde plannen
Id: FedRAMP Moderate IR-3 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Incidentresponstests uitvoeren | CMA_0060 : het testen van incidentreacties uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Een informatiebeveiligingsprogramma opzetten | CMA_0263 - Een informatiebeveiligingsprogramma instellen | Handmatig, uitgeschakeld | 1.1.0 |
Simulatieaanvallen uitvoeren | CMA_0486 - Simulatieaanvallen uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Incidentafhandeling
Id: FedRAMP Moderate IR-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Informatiebeveiligingsevenementen evalueren | CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren | Handmatig, uitgeschakeld | 1.1.0 |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsbeveiliging ontwikkelen | CMA_0161 - Beveiligingsmaatregelen ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Netwerkbeveiliging inschakelen | CMA_0238 - Netwerkbeveiliging inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
Verontreinigde informatie uitroeien | CMA_0253 - Verontreinigde informatie uitroeien | Handmatig, uitgeschakeld | 1.1.0 |
Acties uitvoeren als reactie op overloop van gegevens | CMA_0281 - Acties uitvoeren als reactie op gegevenslekken | Handmatig, uitgeschakeld | 1.1.0 |
Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor reactie op incidenten onderhouden | CMA_0352 - Plan voor reactie op incidenten onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Beperkte gebruikers weergeven en onderzoeken | CMA_0545 - Beperkte gebruikers weergeven en onderzoeken | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde processen voor incidentafhandeling
Id: FedRAMP Moderate IR-4 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Netwerkbeveiliging inschakelen | CMA_0238 - Netwerkbeveiliging inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Incidentbewaking
Id: FedRAMP Moderate IR-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Geautomatiseerde rapportage
Id: FedRAMP Moderate IR-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Documentbeveiligingsbewerkingen | CMA_0202 - Documentbeveiligingsbewerkingen | Handmatig, uitgeschakeld | 1.1.0 |
Ondersteuning voor het reageren op incidenten
Id: FedRAMP Moderate IR-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Documentbeveiligingsbewerkingen | CMA_0202 - Documentbeveiligingsbewerkingen | Handmatig, uitgeschakeld | 1.1.0 |
Automatiseringsondersteuning voor beschikbaarheid van informatie/ondersteuning
Id: FedRAMP Moderate IR-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Netwerkbeveiliging inschakelen | CMA_0238 - Netwerkbeveiliging inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
Verontreinigde informatie uitroeien | CMA_0253 - Verontreinigde informatie uitroeien | Handmatig, uitgeschakeld | 1.1.0 |
Acties uitvoeren als reactie op overloop van gegevens | CMA_0281 - Acties uitvoeren als reactie op gegevenslekken | Handmatig, uitgeschakeld | 1.1.0 |
Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Beperkte gebruikers weergeven en onderzoeken | CMA_0545 - Beperkte gebruikers weergeven en onderzoeken | Handmatig, uitgeschakeld | 1.1.0 |
Coördinatie met externe providers
Id: FedRAMP Moderate IR-7 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Relatie tot stand brengen tussen de mogelijkheid van reactie op incidenten en externe providers | CMA_C1376 - Relatie tot stand brengen tussen de mogelijkheid voor het reageren op incidenten en externe providers | Handmatig, uitgeschakeld | 1.1.0 |
Personeel voor incidentrespons identificeren | CMA_0301 - Personeel voor incidentrespons identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor het reageren op incidenten
Id: FedRAMP Moderate IR-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Informatiebeveiligingsevenementen evalueren | CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren | Handmatig, uitgeschakeld | 1.1.0 |
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Records voor gegevenslekken onderhouden | CMA_0351 - Records voor gegevenslekken onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor reactie op incidenten onderhouden | CMA_0352 - Plan voor reactie op incidenten onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Plan voor reactie op incidenten beveiligen | CMA_0405 - Plan voor het reageren op incidenten beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Reageren op lekkage van gegevens
Id: FedRAMP Moderate IR-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Verontreinigde informatie uitroeien | CMA_0253 - Verontreinigde informatie uitroeien | Handmatig, uitgeschakeld | 1.1.0 |
Acties uitvoeren als reactie op overloop van gegevens | CMA_0281 - Acties uitvoeren als reactie op gegevenslekken | Handmatig, uitgeschakeld | 1.1.0 |
Verontreinigde systemen en onderdelen identificeren | CMA_0300 - Verontreinigde systemen en onderdelen identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Overloopgegevens identificeren | CMA_0303 - Informatie overloop identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Informatielekken isoleren | CMA_0346 - Informatielekken isoleren | Handmatig, uitgeschakeld | 1.1.0 |
Verantwoordelijk personeel
Id: FedRAMP Moderate IR-9 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Personeel voor incidentrespons identificeren | CMA_0301 - Personeel voor incidentrespons identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Training
Id: FedRAMP Moderate IR-9 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Training voor overloop van gegevens bieden | CMA_0413 - Informatie overlooptraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
Bewerkingen na overloop
Id: FedRAMP Moderate IR-9 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Overloopreactieprocedures ontwikkelen | CMA_0162 - Procedures voor overlooprespons ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Blootstelling aan onbevoegd personeel
Id: FedRAMP Moderate IR-9 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsbeveiliging ontwikkelen | CMA_0161 - Beveiligingsmaatregelen ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Onderhoud
Beleid en procedures voor systeemonderhoud
Id: FedRAMP Moderate MA-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor systeemonderhoud controleren en bijwerken | CMA_C1395 - Beleid en procedures voor systeemonderhoud controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Beheerd onderhoud
Id: FedRAMP Moderate MA-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onderhouds- en reparatieactiviteiten beheren | CMA_0080 - Onderhouds- en reparatieactiviteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Hulpprogramma's voor onderhoud
Id: FedRAMP Moderate MA-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onderhouds- en reparatieactiviteiten beheren | CMA_0080 - Onderhouds- en reparatieactiviteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Hulpprogramma's controleren
Id: FedRAMP Moderate MA-3 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onderhouds- en reparatieactiviteiten beheren | CMA_0080 - Onderhouds- en reparatieactiviteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Media inspecteren
Id: FedRAMP Moderate MA-3 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onderhouds- en reparatieactiviteiten beheren | CMA_0080 - Onderhouds- en reparatieactiviteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Onbevoegd verwijderen voorkomen
Id: FedRAMP Moderate MA-3 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Onderhouds- en reparatieactiviteiten beheren | CMA_0080 - Onderhouds- en reparatieactiviteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud
Id: FedRAMP Moderate MA-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Niet-lokaal onderhoud document
Id: FedRAMP Moderate MA-4 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-lokaal onderhoud en diagnostische activiteiten beheren | CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Onderhoudspersoneel
Id: FedRAMP Moderate MA-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Personeel aanwijzen voor niet-geautoriseerde onderhoudsactiviteiten | CMA_C1422 - Personeel aanwijzen om toezicht te houden op niet-geautoriseerde onderhoudsactiviteiten | Handmatig, uitgeschakeld | 1.1.0 |
Lijst met geautoriseerd onderhoud op afstand onderhouden | CMA_C1420 - Lijst met geautoriseerd onderhoud op afstand onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Onderhoudspersoneel beheren | CMA_C1421 - Onderhoudspersoneel beheren | Handmatig, uitgeschakeld | 1.1.0 |
Personen zonder de juiste toegang
Id: FedRAMP Moderate MA-5 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Tijdig onderhoud
Id: FedRAMP Moderate MA-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Tijdig onderhoud bieden | CMA_C1425 - Tijdig onderhoud bieden | Handmatig, uitgeschakeld | 1.1.0 |
Mediabeveiliging
Beleid en procedures voor mediabeveiliging
Id: FedRAMP Moderate MP-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsbeleid en -procedures voor media controleren en bijwerken | CMA_C1427 - Beveiligingsbeleid en -procedures voor media controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Mediatoegang
Id: FedRAMP Moderate MP-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Mediamarkering
Id: FedRAMP Moderate MP-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Media-opslag
Id: FedRAMP Moderate MP-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Mediatransport
Id: FedRAMP Moderate MP-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Het vervoer van assets beheren | CMA_0370 - Het vervoer van assets beheren | Handmatig, uitgeschakeld | 1.1.0 |
Cryptografische beveiliging
Id: FedRAMP Moderate MP-5 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Het vervoer van assets beheren | CMA_0370 - Het vervoer van assets beheren | Handmatig, uitgeschakeld | 1.1.0 |
Media-opschoning
Id: FedRAMP Moderate MP-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Apparatuur testen
Id: FedRAMP Moderate MP-6 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Mediagebruik
Id: FedRAMP Moderate MP-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Het gebruik van draagbare opslagapparaten beheren | CMA_0083 - Het gebruik van draagbare opslagapparaten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Mediagebruik beperken | CMA_0450 - Mediagebruik beperken | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik zonder eigenaar verbieden
Id: FedRAMP Moderate MP-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Het gebruik van draagbare opslagapparaten beheren | CMA_0083 - Het gebruik van draagbare opslagapparaten beheren | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Mediagebruik beperken | CMA_0450 - Mediagebruik beperken | Handmatig, uitgeschakeld | 1.1.0 |
Fysieke en omgevingsbeveiliging
Beleid en procedures voor fysieke en milieubescherming
Id: FedRAMP Moderate PE-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysiek en omgevingsbeleid en procedures controleren en bijwerken | CMA_C1446 - Fysieke en milieubeleidsregels en -procedures controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Autorisaties voor fysieke toegang
Id: FedRAMP Moderate PE-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Beheer van fysieke toegang
Id: FedRAMP Moderate PE-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Een assetinventaris maken en onderhouden | CMA_0266 - Een inventaris van activa instellen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsbeheer voor transmissiemedium
Id: FedRAMP Moderate PE-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsbeheer voor uitvoerapparaten
Id: FedRAMP Moderate PE-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
Inbraakalarmen / bewakingsapparatuur
Id: FedRAMP Moderate PE-6 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een alarmsysteem installeren | CMA_0338 - Een alarmsysteem installeren | Handmatig, uitgeschakeld | 1.1.0 |
Een beveiligd bewakingscamerasysteem beheren | CMA_0354 - Een beveiligd bewakingscamerasysteem beheren | Handmatig, uitgeschakeld | 1.1.0 |
Bezoekerstoegangsrecords
Id: FedRAMP Moderate PE-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Noodverlichting
Id: FedRAMP Moderate PE-12 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Automatische noodverlichting gebruiken | CMA_0209 - Automatische noodverlichting gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Brandbeveiliging
Id: FedRAMP Moderate PE-13 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Onderdrukkingsapparaten/systemen
Id: FedRAMP Moderate PE-13 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Automatische brandbestrijding
Id: FedRAMP Moderate PE-13 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Temperatuur- en vochtigheidscontroles
Id: FedRAMP Moderate PE-14 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Bewaking met waarschuwingen/meldingen
Id: FedRAMP Moderate PE-14 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Een alarmsysteem installeren | CMA_0338 - Een alarmsysteem installeren | Handmatig, uitgeschakeld | 1.1.0 |
Bescherming tegen waterschade
Id: FedRAMP Moderate PE-15 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
Levering en verwijdering
Id: FedRAMP Moderate PE-16 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisten definiëren voor het beheren van assets | CMA_0125 - Vereisten voor het beheren van assets definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Het vervoer van assets beheren | CMA_0370 - Het vervoer van assets beheren | Handmatig, uitgeschakeld | 1.1.0 |
Alternatieve werksite
Id: FedRAMP Moderate PE-17 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Planning
Beleid en procedures voor beveiligingsplanning
Id: FedRAMP Moderate PL-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Planningsbeleid en -procedures controleren en bijwerken | CMA_C1491 - Planningsbeleid en -procedures controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Systeembeveiligingsplan
Id: FedRAMP Moderate PL-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een systeembeveiligingsplan ontwikkelen en opzetten | CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsbeleid en -procedures ontwikkelen | CMA_0158 - Informatiebeveiligingsbeleid en -procedures ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
SSP ontwikkelen die voldoet aan criteria | CMA_C1492 - SSP ontwikkelen die voldoet aan criteria | Handmatig, uitgeschakeld | 1.1.0 |
Een privacyprogramma opzetten | CMA_0257 - Een privacyprogramma instellen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsvereisten instellen voor de productie van verbonden apparaten | CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstechniekprincipes van informatiesystemen implementeren | CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Plannen/coördineren met andere organisatie-entiteiten
Id: FedRAMP Moderate PL-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een systeembeveiligingsplan ontwikkelen en opzetten | CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsvereisten instellen voor de productie van verbonden apparaten | CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstechniekprincipes van informatiesystemen implementeren | CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Gedragsregels
Id: FedRAMP Moderate PL-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor acceptabel gebruik ontwikkelen | CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Organisatiecode van gedragsbeleid ontwikkelen | CMA_0159 - Organisatiecode van gedragsbeleid ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Documenteer personeelsacceptatie van privacyvereisten | CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten | Handmatig, uitgeschakeld | 1.1.0 |
Regels voor gedrag en toegangsovereenkomsten afdwingen | CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Oneerlijke praktijken verbieden | CMA_0396 - Oneerlijke praktijken verbieden | Handmatig, uitgeschakeld | 1.1.0 |
Herziene gedragsregels controleren en ondertekenen | CMA_0465 - Herziene gedragsregels controleren en ondertekenen | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsbeleid bijwerken | CMA_0518 - Informatiebeveiligingsbeleid bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Regels voor gedrag en toegangsovereenkomsten bijwerken | CMA_0521 - Regels voor gedrag en toegangsovereenkomsten bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Regels voor gedrag en toegangsovereenkomsten om de 3 jaar bijwerken | CMA_0522 - Updateregels voor gedrag en toegangsovereenkomsten om de 3 jaar | Handmatig, uitgeschakeld | 1.1.0 |
Beperkingen voor sociale media en netwerken
Id: FedRAMP Moderate PL-4 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor acceptabel gebruik ontwikkelen | CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Informatiebeveiligingsarchitectuur
Id: FedRAMP Moderate PL-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een concept van bewerkingen ontwikkelen (CONOPS) | CMA_0141 - Een concept van bewerkingen ontwikkelen (CONOPS) | Handmatig, uitgeschakeld | 1.1.0 |
De informatiebeveiligingsarchitectuur controleren en bijwerken | CMA_C1504 - De architectuur voor informatiebeveiliging controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Personeelsbeveiliging
Beveiligingsbeleid en procedures voor personeel
Id: FedRAMP Moderate PS-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsbeleid en procedures voor personeel controleren en bijwerken | CMA_C1507 - Beveiligingsbeleid en procedures voor personeel controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Positierisico-aanduiding
Id: FedRAMP Moderate PS-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Risicoaanduidingen toewijzen | CMA_0016 - Risicoaanduidingen toewijzen | Handmatig, uitgeschakeld | 1.1.0 |
Screening van personeel
Id: FedRAMP Moderate PS-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Personeel wissen met toegang tot geclassificeerde gegevens | CMA_0054 - Personeel wissen met toegang tot geclassificeerde gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Personeelscontrole implementeren | CMA_0322 - Personeelscontrole implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Personen opnieuw weergeven met een gedefinieerde frequentie | CMA_C1512 - Personen opnieuw weergeven met een gedefinieerde frequentie | Handmatig, uitgeschakeld | 1.1.0 |
Informatie met speciale beschermingsmaatregelen
Id: FedRAMP Moderate PS-3 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Beëindiging van personeel
Id: FedRAMP Moderate PS-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Interview afsluiten bij beëindiging | CMA_0058 - Afsluitinterview houden bij beëindiging | Handmatig, uitgeschakeld | 1.1.0 |
Verificators uitschakelen na beëindiging | CMA_0169 - Verificators uitschakelen na beëindiging | Handmatig, uitgeschakeld | 1.1.0 |
Melden bij beëindiging of overdracht | CMA_0381 - Melden bij beëindiging of overdracht | Handmatig, uitgeschakeld | 1.1.0 |
Beschermen tegen en voorkomen dat gegevensdiefstal vertrekkende werknemers | CMA_0398 - Beschermen tegen en voorkomen dat gegevensdiefstal vertrekkende werknemers | Handmatig, uitgeschakeld | 1.1.0 |
Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Overplaatsing van personeel
Id: FedRAMP Moderate PS-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Overdrachts- of toewijzingsacties initiëren | CMA_0333 - Overdrachts- of hertoewijzingsacties initiëren | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsautorisaties wijzigen bij overdracht van personeel | CMA_0374 - Toegangsautorisaties wijzigen bij overdracht van personeel | Handmatig, uitgeschakeld | 1.1.0 |
Melden bij beëindiging of overdracht | CMA_0381 - Melden bij beëindiging of overdracht | Handmatig, uitgeschakeld | 1.1.0 |
Toegang opnieuw geëvalueerd bij overdracht van personeel | CMA_0424 - Toegang opnieuw controleren bij overdracht van personeel | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsovereenkomsten
Id: FedRAMP Moderate PS-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toegangsovereenkomsten voor organisaties documenteer | CMA_0192 - Toegangsovereenkomsten voor organisaties documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Regels voor gedrag en toegangsovereenkomsten afdwingen | CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Ervoor zorgen dat toegangsovereenkomsten tijdig worden ondertekend of afgetrokken | CMA_C1528: ervoor zorgen dat toegangsovereenkomsten tijdig worden ondertekend of afgetrokken | Handmatig, uitgeschakeld | 1.1.0 |
Gebruikers verplichten om toegangsovereenkomst te ondertekenen | CMA_0440 - Vereisen dat gebruikers toegangsovereenkomst ondertekenen | Handmatig, uitgeschakeld | 1.1.0 |
Toegangsovereenkomsten voor organisaties bijwerken | CMA_0520 - Toegangsovereenkomsten voor organisaties bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Externe personeelsbeveiliging
Id: FedRAMP Moderate PS-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Documenteer beveiligingsvereisten voor personeel van derden | CMA_C1531 - Beveiligingsvereisten van derden documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsvereisten voor personeel van derden vaststellen | CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen | Handmatig, uitgeschakeld | 1.1.0 |
Naleving van externe providers bewaken | CMA_C1533 - Naleving van externe providers controleren | Handmatig, uitgeschakeld | 1.1.0 |
Melding van overdracht of beëindiging van derden vereisen | CMA_C1532 - Melding van overdracht of beëindiging van personeel van derden vereisen | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel | CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
Personeelssancties
Id: FedRAMP Moderate PS-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Formeel sanctieproces implementeren | CMA_0317 - Formeel sanctieproces implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Personeel op de hoogte stellen van sancties | CMA_0380 - Personeel op de hoogte stellen van sancties | Handmatig, uitgeschakeld | 1.1.0 |
Risicobeoordeling
Beleid en procedures voor risicoanalyse
Id: FedRAMP Moderate RA-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleidsregels en procedures voor risicoanalyse controleren en bijwerken | CMA_C1537 - Beleid en procedures voor risicoanalyse controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Categorisatie van beveiliging
Id: FedRAMP Moderate RA-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Gegevens categoriseren | CMA_0052 - Gegevens categoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Bedrijfsclassificatieschema's ontwikkelen | CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of beveiligingscategorisatie is goedgekeurd | CMA_C1540: controleren of beveiligingscategorisatie is goedgekeurd | Handmatig, uitgeschakeld | 1.1.0 |
Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Risicobeoordeling
Id: FedRAMP Moderate RA-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Risicoanalyse uitvoeren | CMA_C1543 - Risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Risicoanalyse uitvoeren en de resultaten ervan distribueren | CMA_C1544 - Risicoanalyse uitvoeren en de resultaten ervan distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Risicoanalyse uitvoeren en de resultaten ervan documenteren | CMA_C1542 - Risicoanalyse uitvoeren en de resultaten ervan documenteren | Handmatig, uitgeschakeld | 1.1.0 |
Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Scannen op beveiligingsproblemen
Id: FedRAMP Moderate RA-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten | Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Mogelijkheid van hulpprogramma's bijwerken
Id: FedRAMP Moderate RA-5 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Bijwerken op frequentie/vóór nieuwe scan/wanneer geïdentificeerd
Id: FedRAMP Moderate RA-5 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Breedte/diepte van dekking
Id: FedRAMP Moderate RA-5 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Bevoegde toegang
Id: FedRAMP Moderate RA-5 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Bevoegde toegang implementeren voor het uitvoeren van scanactiviteiten op beveiligingsproblemen | CMA_C1555 - Bevoegde toegang implementeren voor het uitvoeren van scanactiviteiten op beveiligingsproblemen | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde trendanalyses
Id: FedRAMP Moderate RA-5 (6) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Zwakke punten in de beveiliging observeren en rapporteren | CMA_0384 - Zwakke plekken in de beveiliging observeren en rapporteren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Bedreigingsmodellering uitvoeren | CMA_0392 - Bedreigingsmodellering uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Historische auditlogboeken controleren
Id: FedRAMP Moderate RA-5 (8) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controlerecords correleren | CMA_0087 - Auditrecords correleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten voor controlebeoordeling en rapportage vaststellen | CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage | Handmatig, uitgeschakeld | 1.1.0 |
Controlebeoordeling, analyse en rapportage integreren | CMA_0339 - Controlebeoordeling, analyse en rapportage integreren | Handmatig, uitgeschakeld | 1.1.0 |
Cloud-app-beveiliging integreren met een siem | CMA_0340 - Cloud-app-beveiliging integreren met een siem | Handmatig, uitgeschakeld | 1.1.0 |
Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wekelijks beheerderstoewijzingen bekijken | CMA_0461 - Wekelijks beheerderstoewijzingen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Overzicht van cloudidentiteitsrapport bekijken | CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Gecontroleerde toegangsgebeurtenissen voor mappen controleren | CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren | Handmatig, uitgeschakeld | 1.1.0 |
Gebeurtenissen voor misbruikbeveiliging controleren | CMA_0472 - Gebeurtenissen voor misbruikbeveiliging controleren | Handmatig, uitgeschakeld | 1.1.0 |
Bestands- en mapactiviteit controleren | CMA_0473 - Bestands- en mapactiviteit controleren | Handmatig, uitgeschakeld | 1.1.0 |
Wijzigingen in rolgroepen wekelijks controleren | CMA_0476 - Wijzigingen in rollengroep wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
Overname van systeem en services
Beleid en procedures voor het verwerven van systeem en services
Id: FedRAMP Moderate SA-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor het verkrijgen van systemen en services controleren en bijwerken | CMA_C1560 - Beleid en procedures voor het verkrijgen van systemen en services controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Toewijzing van resources
Id: FedRAMP Moderate SA-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Bedrijfsdoelstellingen en IT-doelstellingen afstemmen | CMA_0008 - Bedrijfsdoelstellingen en IT-doelstellingen afstemmen | Handmatig, uitgeschakeld | 1.1.0 |
Resources toewijzen bij het bepalen van informatiesysteemvereisten | CMA_C1561 - Resources toewijzen bij het bepalen van informatiesysteemvereisten | Handmatig, uitgeschakeld | 1.1.0 |
Een discrete regelitem instellen in de budgetteringsdocumentatie | CMA_C1563 - Een discrete regelitem maken in de budgetteringsdocumentatie | Handmatig, uitgeschakeld | 1.1.0 |
Een privacyprogramma opzetten | CMA_0257 - Een privacyprogramma instellen | Handmatig, uitgeschakeld | 1.1.0 |
De toewijzing van resources beheren | CMA_0293 - De toewijzing van resources beheren | Handmatig, uitgeschakeld | 1.1.0 |
Veilige toezegging van leiderschap | CMA_0489 - Veilige toezegging van leiderschap | Handmatig, uitgeschakeld | 1.1.0 |
Levenscyclus van systeemontwikkeling
Id: FedRAMP Moderate SA-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Informatiebeveiligingsrollen en -verantwoordelijkheden definiëren | CMA_C1565 - Informatiebeveiligingsrollen en -verantwoordelijkheden definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Personen identificeren met beveiligingsrollen en verantwoordelijkheden | CMA_C1566 - Personen identificeren met beveiligingsrollen en verantwoordelijkheden | Handmatig, uitgeschakeld | 1.1.1 |
Risicobeheerproces integreren in SDLC | CMA_C1567 - Risicobeheerproces integreren in SDLC | Handmatig, uitgeschakeld | 1.1.0 |
Overnameproces
Id: FedRAMP Moderate SA-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
Acceptatiecriteria voor overnamecontract documenteren | CMA_0187 - Acceptatiecriteria voor documentaankoopcontract | Handmatig, uitgeschakeld | 1.1.0 |
Documentbescherming van persoonsgegevens in overnamecontracten | CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Documentbescherming van beveiligingsgegevens in overnamecontracten | CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Documentvereisten voor het gebruik van gedeelde gegevens in contracten | CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten voor beveiligingscontrole in overnamecontracten documenteer | CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Documentbeveiligingsdocumentatievereisten in overnamecontract | CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract | Handmatig, uitgeschakeld | 1.1.0 |
Functionele vereisten voor beveiliging documentleren in overnamecontracten | CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | Handmatig, uitgeschakeld | 1.1.0 |
Functionele eigenschappen van beveiligingscontroles
Id: FedRAMP Moderate SA-4 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Functionele eigenschappen van beveiligingscontroles verkrijgen | CMA_C1575 - Functionele eigenschappen van beveiligingsmaatregelen verkrijgen | Handmatig, uitgeschakeld | 1.1.0 |
Ontwerp-/implementatiegegevens voor beveiligingscontroles
Id: FedRAMP Moderate SA-4 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Ontwerp- en implementatiegegevens verkrijgen voor de beveiligingscontroles | CMA_C1576 - Ontwerp- en implementatiegegevens verkrijgen voor de beveiligingscontroles | Handmatig, uitgeschakeld | 1.1.1 |
Plan voor continue bewaking
Id: FedRAMP Moderate SA-4 (8) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Doorlopend bewakingsplan voor beveiligingscontroles verkrijgen | CMA_C1577 - Doorlopend bewakingsplan voor beveiligingscontroles verkrijgen | Handmatig, uitgeschakeld | 1.1.0 |
Functies/poorten/protocollen/services die in gebruik zijn
Id: FedRAMP Moderate SA-4 (9) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Vereisen dat ontwikkelaars SDLC-poorten, -protocollen en -services identificeren | CMA_C1578 - Vereisen dat ontwikkelaars SDLC-poorten, -protocollen en -services identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van goedgekeurde Piv-producten
Id: FedRAMP Moderate SA-4 (10) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
FIPS 201-goedgekeurde technologie gebruiken voor PIV | CMA_C1579 - FIPS 201-goedgekeurde technologie gebruiken voor PIV | Handmatig, uitgeschakeld | 1.1.0 |
Documentatie over informatiesysteem
Id: FedRAMP Moderate SA-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Documentatie over informatiesysteem distribueren | CMA_C1584 - Documentatie over informatiesysteem distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Door de klant gedefinieerde acties documenteer | CMA_C1582 - Door de klant gedefinieerde acties document | Handmatig, uitgeschakeld | 1.1.0 |
Beheerdersdocumentatie verkrijgen | CMA_C1580 - Beheerdersdocumentatie verkrijgen | Handmatig, uitgeschakeld | 1.1.0 |
Documentatie over gebruikersbeveiligingsfuncties verkrijgen | CMA_C1581 - Documentatie over gebruikersbeveiligingsfuncties verkrijgen | Handmatig, uitgeschakeld | 1.1.0 |
Beheerders- en gebruikersdocumentatie beveiligen | CMA_C1583 - Beheerders- en gebruikersdocumentatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Externe informatiesysteemservices
Id: FedRAMP Moderate SA-9 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Toezicht op de overheid definiëren en documenteer | CMA_C1587 - Toezicht op de overheid definiëren en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat externe serviceproviders voldoen aan beveiligingsvereisten | CMA_C1586 : externe serviceproviders verplichten om te voldoen aan de beveiligingsvereisten | Handmatig, uitgeschakeld | 1.1.0 |
De naleving van beleidsregels en overeenkomsten van cloudserviceproviders controleren | CMA_0469 - De naleving van beleidsregels en overeenkomsten van cloudserviceproviders controleren | Handmatig, uitgeschakeld | 1.1.0 |
Onafhankelijke beveiligingsbeoordeling ondergaan | CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan | Handmatig, uitgeschakeld | 1.1.0 |
Risicoanalyses/goedkeuringen van organisaties
Id: FedRAMP Moderate SA-9 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Risico's beoordelen in relaties van derden | CMA_0014 - Risico's beoordelen in relaties van derden | Handmatig, uitgeschakeld | 1.1.0 |
Goedkeuringen verkrijgen voor overnames en uitbesteden | CMA_C1590 - Goedkeuringen verkrijgen voor overnames en uitbesteden | Handmatig, uitgeschakeld | 1.1.0 |
Identificatie van functies/poorten/protocollen/services
Id: FedRAMP Moderate SA-9 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Externe serviceproviders identificeren | CMA_C1591 - Externe serviceproviders identificeren | Handmatig, uitgeschakeld | 1.1.0 |
Consistente belangen van consumenten en providers
Id: FedRAMP Moderate SA-9 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Zorg ervoor dat externe providers consistent voldoen aan de belangen van de klanten | CMA_C1592 : ervoor zorgen dat externe providers consistent voldoen aan de belangen van de klanten | Handmatig, uitgeschakeld | 1.1.0 |
Verwerkings-, opslag- en servicelocatie
Id: FedRAMP Moderate SA-9 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Locatie van informatieverwerking, opslag en services beperken | CMA_C1593 - Locatie van gegevensverwerking, opslag en services beperken | Handmatig, uitgeschakeld | 1.1.0 |
Configuratiebeheer voor ontwikkelaars
Id: FedRAMP Moderate SA-10 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsproblemen met coderen oplossen | CMA_0003 - Beveiligingsproblemen met codering oplossen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsvereisten voor toepassingen ontwikkelen en documenten | CMA_0148 - Beveiligingsvereisten voor toepassingen ontwikkelen en documenten | Handmatig, uitgeschakeld | 1.1.0 |
Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
Een beveiligd softwareontwikkelingsprogramma opzetten | CMA_0259 - Een beveiligd softwareontwikkelingsprogramma opzetten | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat ontwikkelaars goedgekeurde wijzigingen en mogelijke impact documenteren | CMA_C1597 : vereisen dat ontwikkelaars goedgekeurde wijzigingen en mogelijke gevolgen documenteren | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat ontwikkelaars alleen goedgekeurde wijzigingen implementeren | CMA_C1596: vereisen dat ontwikkelaars alleen goedgekeurde wijzigingen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat ontwikkelaars de integriteit van wijzigingen beheren | CMA_C1595 - Vereisen dat ontwikkelaars de integriteit van wijzigingen beheren | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie van software-/firmware-integriteit
Id: FedRAMP Moderate SA-10 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingstests en -evaluatie voor ontwikkelaars
Id: FedRAMP Moderate SA-11 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Vereisen dat ontwikkelaars bewijs produceren van de uitvoering van het beveiligingsevaluatieplan | CMA_C1602 : ontwikkelaars verplichten bewijs te leveren van de uitvoering van het beveiligingsevaluatieplan | Handmatig, uitgeschakeld | 1.1.0 |
Systeem- en communicatiebeveiliging
Beleid en procedures voor systeem- en communicatiebescherming
Id: FedRAMP Moderate SC-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beleid en procedures voor systeem- en communicatiebeveiliging controleren en bijwerken | CMA_C1616 - Beleid en procedures voor systeem- en communicatiebeveiliging controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Partitionering van toepassingen
Id: FedRAMP Moderate SC-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
Afzonderlijke functionaliteit voor gebruikers- en informatiesysteembeheer | CMA_0493 - Afzonderlijke functionaliteit voor gebruikers- en informatiesysteembeheer | Handmatig, uitgeschakeld | 1.1.0 |
Toegewezen machines gebruiken voor beheertaken | CMA_0527 - Toegewezen machines gebruiken voor beheertaken | Handmatig, uitgeschakeld | 1.1.0 |
Denial Of Service Protection
Id: FedRAMP Moderate SC-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure DDoS Protection moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Een DDoS-antwoordplan ontwikkelen en documenteert | CMA_0147 - Een DDoS-antwoordplan ontwikkelen en documenteert | Handmatig, uitgeschakeld | 1.1.0 |
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Beschikbaarheid van resources
Id: FedRAMP Moderate SC-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
De toewijzing van resources beheren | CMA_0293 - De toewijzing van resources beheren | Handmatig, uitgeschakeld | 1.1.0 |
Beschikbaarheid en capaciteit beheren | CMA_0356 - Beschikbaarheid en capaciteit beheren | Handmatig, uitgeschakeld | 1.1.0 |
Veilige toezegging van leiderschap | CMA_0489 - Veilige toezegging van leiderschap | Handmatig, uitgeschakeld | 1.1.0 |
Grensbescherming
Id: FedRAMP Moderate SC-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.1-afgeschaft |
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Toegangspunten
Id: FedRAMP Moderate SC-7 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.1-afgeschaft |
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Externe telecommunicatieservices
Id: FedRAMP Moderate SC-7 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beheerde interface implementeren voor elke externe service | CMA_C1626 - Beheerde interface implementeren voor elke externe service | Handmatig, uitgeschakeld | 1.1.0 |
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
De interface naar externe systemen beveiligen | CMA_0491 - De interface naar externe systemen beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Split Tunneling voorkomen voor externe apparaten
Id: FedRAMP Moderate SC-7 (7) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Split tunneling voor externe apparaten voorkomen | CMA_C1632 - Split Tunneling voorkomen voor externe apparaten | Handmatig, uitgeschakeld | 1.1.0 |
Verkeer routeren naar geverifieerde proxyservers
Id: FedRAMP Moderate SC-7 (8) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Verkeer routeren via geverifieerd proxynetwerk | CMA_C1633 - Verkeer routeren via geverifieerd proxynetwerk | Handmatig, uitgeschakeld | 1.1.0 |
Beveiliging op basis van host
Id: FedRAMP Moderate SC-7 (12) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Isolatie van beveiligingshulpprogramma's / mechanismen / ondersteuningsonderdelen
Id: FedRAMP Moderate SC-7 (13) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
SecurID-systemen isoleren, Security Incident Management-systemen | CMA_C1636 - SecurID-systemen isoleren, beveiligingsincidentbeheersystemen | Handmatig, uitgeschakeld | 1.1.0 |
Mislukt veilig
Id: FedRAMP Moderate SC-7 (18) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Overdrachten tussen stand-by- en actieve systeemonderdelen beheren | CMA_0371 - Overdrachten tussen stand-by- en actieve systeemonderdelen beheren | Handmatig, uitgeschakeld | 1.1.0 |
Vertrouwelijkheid en integriteit van verzending
Id: FedRAMP Moderate SC-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen | Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
Cryptografische of alternatieve fysieke beveiliging
Id: FedRAMP Moderate SC-8 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen | Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
Netwerkverbinding verbreken
Id: FedRAMP Moderate SC-10 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een gebruikerssessie opnieuw verifiëren of beëindigen | CMA_0421 - Een gebruikerssessie opnieuw verifiëren of beëindigen | Handmatig, uitgeschakeld | 1.1.0 |
Instelling en beheer van cryptografische sleutels
Id: FedRAMP Moderate SC-12 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
[Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) | Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
Azure API for FHIR moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling van data-at-rest te beheren van de gegevens die in Azure API for FHIR zijn opgeslagen als dit een vereiste is vanwege regelgeving of naleving. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels. | controle, controle, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor het Azure Batch-account moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels om de versleuteling at rest van de gegevens van uw Batch-account te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/Batch-CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Azure Container Instance-containergroep moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw containers met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Data Box-taken moeten een door de klant beheerde sleutel gebruiken om het wachtwoord voor ontgrendelen van het apparaat te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling van het wachtwoord voor ontgrendeling van het apparaat voor Azure Data Box te beheren. Door de klant beheerde sleutels helpen u bij het beheren van de toegang tot het wachtwoord voor ontgrendeling van het apparaat door de Data Box-service om het apparaat voor te bereiden en gegevens geautomatiseerd te kopiëren. De gegevens op het apparaat zelf zijn al versleuteld met Advanced Encryption Standard 256-bits-versleuteling en het wachtwoord voor ontgrendeling van het apparaat wordt standaard versleuteld met een door Microsoft beheerde sleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruikt | Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure-gegevensfactory's moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Data Factory te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/adf-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Azure HDInsight-clusters moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure HDInsight-clusters te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/hdi.cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Azure HDInsight-clusters moeten gebruikmaken van versleuteling op host om data-at-rest te versleutelen | Door versleuteling op host in te schakelen, kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Azure Monitor-logboekclusters moeten worden versleuteld met door de klant beheerde sleutel | Maak een Azure Monitor-logboekcluster met versleuteling van door de klant beheerde sleutels. Standaard worden de logboekgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving. Door de klant beheerde sleutel in Azure Monitor biedt u meer controle over de toegang tot uw gegevens, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Bot Service moet worden versleuteld met een door de klant beheerde sleutel | Azure Bot Service versleutelt uw resource automatisch om uw gegevens te beschermen en te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Standaard worden door Microsoft beheerde versleutelingssleutels gebruikt. Voor meer flexibiliteit bij het beheren van sleutels of het beheren van de toegang tot uw abonnement, selecteert u door de klant beheerde sleutels, ook wel bring your own key (BYOK) genoemd. Meer informatie over Azure Bot Service-versleuteling: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Organisatievereisten definiëren voor cryptografisch sleutelbeheer | CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Assertievereisten bepalen | CMA_0136 - Assertievereisten bepalen | Handmatig, uitgeschakeld | 1.1.0 |
Event Hub-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Event Hubs ondersteunt de optie om data-at-rest te versleutelen met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u ervoor kiest om gegevens te versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Event Hub gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Event Hub ondersteunt alleen versleuteling met door de klant beheerde sleutels voor naamruimten in toegewezen clusters. | Controle, uitgeschakeld | 1.0.0 |
HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling at rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
Logic Apps Integration Service Environment moet worden versleuteld met door de klant beheerde sleutels | Implementeer in Integration Service Environment om versleuteling at rest van Logic Apps-gegevens te beheren met behulp van door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Symmetrische cryptografische sleutels beheren | CMA_0367 - Symmetrische cryptografische sleutels beheren | Handmatig, uitgeschakeld | 1.1.0 |
Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels | Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
Opgeslagen query's in Azure Monitor moeten worden opgeslagen in het opslagaccount van de klant voor versleuteling van logboeken | Koppel het opslagaccount aan de Log Analytics-werkruimte om opgeslagen query's te beveiligen met opslagaccountversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw opgeslagen query's in Azure Monitor. Zie voor meer informatie over het bovenstaande https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. | Controle, uitgeschakeld | 1.0.0 |
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
Symmetrische sleutels
Id: FedRAMP Moderate SC-12 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Symmetrische cryptografische sleutels produceren, beheren en distribueren | CMA_C1645 - Symmetrische cryptografische sleutels produceren, beheren en distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Asymmetrische sleutels
Id: FedRAMP Moderate SC-12 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Asymmetrische cryptografische sleutels produceren, beheren en distribueren | CMA_C1646 - asymmetrische cryptografische sleutels produceren, beheren en distribueren | Handmatig, uitgeschakeld | 1.1.0 |
Cryptografische beveiliging
Id: FedRAMP Moderate SC-13 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Samenwerkende computers
Id: FedRAMP Moderate SC-15 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Het gebruik van collaborative computing-apparaten expliciet op de hoogte stellen | CMA_C1649: het gebruik van samenwerkingscomputingsapparaten expliciet melden | Handmatig, uitgeschakeld | 1.1.1 |
Externe activering van collaborative computing-apparaten verbieden | CMA_C1648 - Externe activering van samenwerkingscomputingapparaten verbieden | Handmatig, uitgeschakeld | 1.1.0 |
PKI-certificaten (Public Key Infrastructure)
Id: FedRAMP Moderate SC-17 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
Mobiele code
Id: FedRAMP Moderate SC-18 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Het gebruik van mobiele codetechnologieën autoriseren, bewaken en beheren | CMA_C1653 - Het gebruik van mobiele codetechnologieën autoriseren, bewaken en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Acceptabele en onacceptabele technologieën voor mobiele code definiëren | CMA_C1651 - Acceptabele en onacceptabele technologieën voor mobiele code definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Gebruiksbeperkingen instellen voor mobiele codetechnologieën | CMA_C1652 - Gebruiksbeperkingen instellen voor technologieën voor mobiele code | Handmatig, uitgeschakeld | 1.1.0 |
Voice-over-internetprotocol
Id: FedRAMP Moderate SC-19 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voip autoriseren, bewaken en beheren | CMA_0025 - Voip autoriseren, bewaken en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Voip-gebruiksbeperkingen vaststellen | CMA_0280 - Voip-gebruiksbeperkingen instellen | Handmatig, uitgeschakeld | 1.1.0 |
Service voor veilige naam-/adresomzetting (gemachtigde bron)
Id: FedRAMP Moderate SC-20 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een fouttolerante naam-/adresservice implementeren | CMA_0305 - Een fouttolerante naam/adresservice implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Veilige services voor naam- en adresomzetting opgeven | CMA_0416 - Veilige naam- en adresomzettingsservices opgeven | Handmatig, uitgeschakeld | 1.1.0 |
Secure Name /Address Resolution Service (recursieve of caching resolver)
Id: FedRAMP Moderate SC-21 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een fouttolerante naam-/adresservice implementeren | CMA_0305 - Een fouttolerante naam/adresservice implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
Architectuur en inrichting voor naam-/adresomzettingsservice
Id: FedRAMP Moderate SC-22 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een fouttolerante naam-/adresservice implementeren | CMA_0305 - Een fouttolerante naam/adresservice implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Sessie-echtheid
Id: FedRAMP Moderate SC-23 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
Willekeurige unieke sessie-id's afdwingen | CMA_0247 - Willekeurige unieke sessie-id's afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Bescherming van data-at-rest
Id: FedRAMP Moderate SC-28 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat | Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) | Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling | Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Cryptografische beveiliging
Id: FedRAMP Moderate SC-28 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat | Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) | Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling | Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Procesisolatie
Id: FedRAMP Moderate SC-39 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Afzonderlijke uitvoeringsdomeinen onderhouden voor actieve processen | CMA_C1665 : afzonderlijke uitvoeringsdomeinen onderhouden voor actieve processen | Handmatig, uitgeschakeld | 1.1.0 |
Systeem- en informatieintegriteit
Beleid en procedures voor systeem- en informatieintegriteit
Id: FedRAMP Moderate SI-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Integriteitsbeleid en procedures voor informatieintegriteit controleren en bijwerken | CMA_C1667 - Beleid en procedures voor gegevensintegriteit controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Foutherstel
Id: FedRAMP Moderate SI-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
Foutherstel opnemen in configuratiebeheer | CMA_C1671 - Foutherstel opnemen in configuratiebeheer | Handmatig, uitgeschakeld | 1.1.0 |
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Automatische foutherstelstatus
Id: FedRAMP Moderate SI-2 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Foutherstel automatiseren | CMA_0027 - Foutherstel automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Tijd om fouten/benchmarks voor corrigerende acties op te lossen
Id: FedRAMP Moderate SI-2 (3) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Benchmarks vaststellen voor foutherstel | CMA_C1675 - Benchmarks vaststellen voor foutherstel | Handmatig, uitgeschakeld | 1.1.0 |
Meet de tijd tussen foutidentificatie en foutherstel | CMA_C1674 - Meet de tijd tussen foutidentificatie en foutherstel | Handmatig, uitgeschakeld | 1.1.0 |
Bescherming tegen schadelijke code
Id: FedRAMP Moderate SI-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
De status van bedreigingsbeveiliging wekelijks bekijken | CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Centraal beheer
Id: FedRAMP Moderate SI-3 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Automatische updates
Id: FedRAMP Moderate SI-3 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Detectie op basis van niet-teken
Id: FedRAMP Moderate SI-3 (7) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Informatiesysteembewaking
Id: FedRAMP Moderate SI-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Juridisch advies verkrijgen voor bewakingssysteemactiviteiten | CMA_C1688 - Juridisch advies verkrijgen voor bewakingssysteemactiviteiten | Handmatig, uitgeschakeld | 1.1.0 |
Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Bewakingsgegevens opgeven indien nodig | CMA_C1689 - Bewakingsgegevens opgeven indien nodig | Handmatig, uitgeschakeld | 1.1.0 |
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Geautomatiseerde hulpprogramma's voor realtime-analyse
Id: FedRAMP Moderate SI-4 (2) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Documentbeveiligingsbewerkingen | CMA_0202 - Documentbeveiligingsbewerkingen | Handmatig, uitgeschakeld | 1.1.0 |
Sensoren inschakelen voor eindpuntbeveiligingsoplossing | CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing | Handmatig, uitgeschakeld | 1.1.0 |
Binnenkomend en uitgaand communicatieverkeer
Id: FedRAMP Moderate SI-4 (4) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Voip autoriseren, bewaken en beheren | CMA_0025 - Voip autoriseren, bewaken en beheren | Handmatig, uitgeschakeld | 1.1.0 |
Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
Verkeer routeren via beheerde netwerktoegangspunten | CMA_0484 - Verkeer routeren via beheerde netwerktoegangspunten | Handmatig, uitgeschakeld | 1.1.0 |
Door het systeem gegenereerde waarschuwingen
Id: FedRAMP Moderate SI-4 (5) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Draadloze inbraakdetectie
Id: FedRAMP Moderate SI-4 (14) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingsmaatregelen voor draadloze toegang document | CMA_C1695 - Beveiligingsmaatregelen voor draadloze toegang document | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingswaarschuwingen, adviezen en richtlijnen
Id: FedRAMP Moderate SI-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beveiligingswaarschuwingen naar personeel verspreiden | CMA_C1705 - Beveiligingswaarschuwingen verspreiden voor personeel | Handmatig, uitgeschakeld | 1.1.0 |
Een bedreigingsinformatieprogramma opzetten | CMA_0260 - Een programma voor bedreigingsinformatie instellen | Handmatig, uitgeschakeld | 1.1.0 |
Interne beveiligingswaarschuwingen genereren | CMA_C1704 - Interne beveiligingswaarschuwingen genereren | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsrichtlijnen implementeren | CMA_C1706 - Beveiligingsrichtlijnen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie van beveiligingsfuncties
Id: FedRAMP Moderate SI-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Alternatieve acties maken voor geïdentificeerde afwijkingen | CMA_C1711 - Alternatieve acties maken voor geïdentificeerde afwijkingen | Handmatig, uitgeschakeld | 1.1.0 |
Personeel op de hoogte stellen van mislukte beveiligingsverificatietests | CMA_C1710 - Personeel op de hoogte stellen van mislukte beveiligingsverificatietests | Handmatig, uitgeschakeld | 1.1.0 |
Verificatie van beveiligingsfuncties uitvoeren met een gedefinieerde frequentie | CMA_C1709 - Verificatie van beveiligingsfuncties uitvoeren met een gedefinieerde frequentie | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsfuncties controleren | CMA_C1708 - Beveiligingsfuncties controleren | Handmatig, uitgeschakeld | 1.1.0 |
Integriteit van software, firmware en informatie
Id: FedRAMP Moderate SI-7 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
Integriteitscontroles
Id: FedRAMP Moderate SI-7 (1) Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
Diagnostische gegevens van het systeem weergeven en configureren | CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren | Handmatig, uitgeschakeld | 1.1.0 |
Gegevensinvoervalidatie
Id: FedRAMP Moderate SI-10 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Gegevensinvoervalidatie uitvoeren | CMA_C1723 - Gegevensinvoervalidatie uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Foutafhandeling
Id: FedRAMP Moderate SI-11 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Foutberichten genereren | CMA_C1724 - Foutberichten genereren | Handmatig, uitgeschakeld | 1.1.0 |
Foutberichten weergeven | CMA_C1725 - Foutberichten weergeven | Handmatig, uitgeschakeld | 1.1.0 |
Verwerking en retentie van informatie
Id: FedRAMP Moderate SI-12 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Geheugenbeveiliging
Id: FedRAMP Moderate SI-16 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Volgende stappen
Aanvullende artikelen over Azure Policy:
- Overzicht voor naleving van regelgeving.
- Bekijk de structuur van initiatiefdefinities.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.