Share via


Details van het ingebouwde initiatief voor naleving van regelgeving van NIST SP 800-171 R2 (Azure Government)

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in NIST SP 800-171 R2 (Azure Government). Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen zijn voor de NIST SP 800-171 R2-beheeropties. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie NIST SP 800-171 Rev. 2 Naleving van regelgeving.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Toegangsbeheer

De systeemtoegang beperken tot geautoriseerde gebruikers, processen die optreden namens geautoriseerde gebruikers, en apparaten (inclusief andere systemen).

Id: NIST SP 800-171 R2 3.1.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan AuditIfNotExists, uitgeschakeld 1.4.0
Linux-machines controleren met accounts zonder wachtwoorden Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden AuditIfNotExists, uitgeschakeld 1.4.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, uitgeschakeld 2.4.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.4.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0

Externe toegangssessies bewaken en beheren

Id: NIST SP 800-171 R2 3.1.12 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan AuditIfNotExists, uitgeschakeld 1.4.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.4.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0

Cryptografische mechanismen gebruiken om de vertrouwelijkheid van externe toegangssessies te beschermen.

Id: NIST SP 800-171 R2 3.1.13 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0

Externe toegang routeren via beheerde toegangsbeheerpunten.

Id: NIST SP 800-171 R2 3.1.14 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0

Beperk de systeemtoegang tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren.

Id: NIST SP 800-171 R2 3.1.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0

De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties.

Id: NIST SP 800-171 R2 3.1.3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.0
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 1.4.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0

De taken van individuen scheiden om het risico op kwaadaardige activiteiten zonder samenzwering te beperken.

Id: NIST SP 800-171 R2 3.1.4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 1.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 1.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. AuditIfNotExists, uitgeschakeld 3.0.0

Gebruik het principe van minimale bevoegdheden, inclusief voor specifieke beveiligingsfuncties en bevoegde accounts.

Id: NIST SP 800-171 R2 3.1.5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1

Risicobeoordeling

Regelmatig scannen op beveiligingsproblemen in organisatiesystemen en toepassingen en wanneer er nieuwe beveiligingsproblemen worden geïdentificeerd die van invloed zijn op die systemen en toepassingen.

Id: NIST SP 800-171 R2 3.11.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. AuditIfNotExists, uitgeschakeld 1.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 3.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. AuditIfNotExists, uitgeschakeld 1.0.0

Beveiligingsproblemen herstellen in overeenstemming met risicobeoordelingen.

Id: NIST SP 800-171 R2 3.11.3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. AuditIfNotExists, uitgeschakeld 1.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 3.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. AuditIfNotExists, uitgeschakeld 1.0.0

Systeem- en communicatiebeveiliging

Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen.

Id: NIST SP 800-171 R2 3.13.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.0
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 1.4.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Cryptografische sleutels instellen en beheren voor cryptografie die wordt gebruikt in organisatiesystemen.

Id: NIST SP 800-171 R2 3.13.10 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. Controleren, Weigeren, Uitgeschakeld 1.0.0-preview
[Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. Controleren, Weigeren, Uitgeschakeld 1.0.0-preview
Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. Controleren, Weigeren, Uitgeschakeld 2.2.0
Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor het Azure Batch-account moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens Gebruik door de klant beheerde sleutels om de versleuteling at rest van de gegevens van uw Batch-account te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/Batch-CMK. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure Container Instance-containergroep moet een door de klant beheerde sleutel gebruiken voor versleuteling Beveilig uw containers met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. Controleren, uitgeschakeld, weigeren 1.0.0
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Azure Data Box-taken moeten een door de klant beheerde sleutel gebruiken om het wachtwoord voor ontgrendelen van het apparaat te versleutelen Gebruik een door de klant beheerde sleutel om de versleuteling van het wachtwoord voor ontgrendeling van het apparaat voor Azure Data Box te beheren. Door de klant beheerde sleutels helpen u bij het beheren van de toegang tot het wachtwoord voor ontgrendeling van het apparaat door de Data Box-service om het apparaat voor te bereiden en gegevens geautomatiseerd te kopiëren. De gegevens op het apparaat zelf zijn al versleuteld met Advanced Encryption Standard 256-bits-versleuteling en het wachtwoord voor ontgrendeling van het apparaat wordt standaard versleuteld met een door Microsoft beheerde sleutel. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruikt Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure-gegevensfactory's moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Data Factory te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/adf-cmk. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure HDInsight-clusters moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure HDInsight-clusters te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/hdi.cmk. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure HDInsight-clusters moeten gebruikmaken van versleuteling op host om data-at-rest te versleutelen Door versleuteling op host in te schakelen, kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Azure Monitor-logboekclusters moeten worden versleuteld met door de klant beheerde sleutel Maak een Azure Monitor-logboekcluster met versleuteling van door de klant beheerde sleutels. Standaard worden de logboekgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving. Door de klant beheerde sleutel in Azure Monitor biedt u meer controle over de toegang tot uw gegevens, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Bot Service moet worden versleuteld met een door de klant beheerde sleutel Azure Bot Service versleutelt uw resource automatisch om uw gegevens te beschermen en te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Standaard worden door Microsoft beheerde versleutelingssleutels gebruikt. Voor meer flexibiliteit bij het beheren van sleutels of het beheren van de toegang tot uw abonnement, selecteert u door de klant beheerde sleutels, ook wel bring your own key (BYOK) genoemd. Meer informatie over Azure Bot Service-versleuteling: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. Controleren, Weigeren, Uitgeschakeld 1.0.1
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. Controleren, Weigeren, Uitgeschakeld 1.1.2
Event Hub-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling Azure Event Hubs ondersteunt de optie om data-at-rest te versleutelen met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u ervoor kiest om gegevens te versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Event Hub gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Event Hub ondersteunt alleen versleuteling met door de klant beheerde sleutels voor naamruimten in toegewezen clusters. Controle, uitgeschakeld 1.0.0
Logic Apps Integration Service Environment moet worden versleuteld met door de klant beheerde sleutels Implementeer in Integration Service Environment om versleuteling at rest van Logic Apps-gegevens te beheren met behulp van door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Controleren, Weigeren, Uitgeschakeld 1.0.0
Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. Controleren, Weigeren, Uitgeschakeld 1.0.0
Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. Controleren, Weigeren, Uitgeschakeld 3.0.0
Opgeslagen query's in Azure Monitor moeten worden opgeslagen in het opslagaccount van de klant voor versleuteling van logboeken Koppel het opslagaccount aan de Log Analytics-werkruimte om opgeslagen query's te beveiligen met opslagaccountversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw opgeslagen query's in Azure Monitor. Zie voor meer informatie over het bovenstaande https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. Controle, uitgeschakeld 1.0.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.0
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.1
Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. Controleren, Weigeren, Uitgeschakeld 1.0.0
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. Controle, uitgeschakeld 1.0.3

De vertrouwelijkheid van inactieve CUI beschermen.

Id: NIST SP 800-171 R2 3.13.16 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Service Environment moet interne versleuteling zijn ingeschakeld Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. Controle, uitgeschakeld 1.0.1
Automation-accountvariabelen moeten worden versleuteld Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Controleren, Weigeren, Uitgeschakeld 2.0.0
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. Controleren, Weigeren, Uitgeschakeld 2.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. Controleren, Weigeren, Uitgeschakeld 1.0.0
Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. Controleren, Weigeren, Uitgeschakeld 1.0.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. Controleren, Weigeren, Uitgeschakeld 1.0.0

Gebruik architectuurontwerpen, technieken voor softwareontwikkeling en principes voor systeemtechniek die effectieve informatiebeveiliging binnen organisatiesystemen bevorderen.

Id: NIST SP 800-171 R2 3.13.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.0
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 1.4.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken.

Id: NIST SP 800-171 R2 3.13.5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.0
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 1.4.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering).

Id: NIST SP 800-171 R2 3.13.6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.0
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 1.4.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging.

Id: NIST SP 800-171 R2 3.13.8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0
App Service-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. Controleren, Weigeren, Uitgeschakeld 1.0.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
Functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 5.0.0
Functie-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.1.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 1.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. AuditIfNotExists, uitgeschakeld 3.0.1

Systeem- en gegevensintegriteit

Systeemfouten tijdig identificeren, rapporteren en corrigeren.

Id: NIST SP 800-171 R2 3.14.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Functie-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ Controle, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 1.1.1

Beveiliging bieden tegen schadelijke code op aangewezen locaties binnen organisatiesystemen.

Id: NIST SP 800-171 R2 3.14.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Antimalware voor Azure moet zijn geconfigureerd voor het automatisch bijwerken van beveiligingsdefinities Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd. AuditIfNotExists, uitgeschakeld 1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 1.1.1

Bewaak systeembeveiligingswaarschuwingen en advies en neem actie in reactie.

Id: NIST SP 800-171 R2 3.14.3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 2.0.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1

Beveiligingsmechanismen voor schadelijke code bijwerken wanneer er nieuwe releases beschikbaar zijn.

Id: NIST SP 800-171 R2 3.14.4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Microsoft Antimalware voor Azure moet zijn geconfigureerd voor het automatisch bijwerken van beveiligingsdefinities Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd. AuditIfNotExists, uitgeschakeld 1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 1.1.1

Voer periodieke scans uit van organisatiesystemen en realtime scans van bestanden van externe bronnen wanneer bestanden worden gedownload, geopend of uitgevoerd.

Id: NIST SP 800-171 R2 3.14.5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Antimalware voor Azure moet zijn geconfigureerd voor het automatisch bijwerken van beveiligingsdefinities Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd. AuditIfNotExists, uitgeschakeld 1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 1.1.1

Organisatiesystemen, met inbegrip van inkomend en uitgaand communicatieverkeer, bewaken om aanvallen en indicatoren van mogelijke aanvallen te detecteren.

Id: NIST SP 800-171 R2 3.14.6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 4.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 2.0.0
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Identificeer niet-geautoriseerd gebruik van organisatiesystemen.

Id: NIST SP 800-171 R2 3.14.7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 4.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Controle en verantwoordelijkheid

Systeemcontrolelogboeken en -records maken en bewaren voor zover nodig om de bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten mogelijk te maken en te rapporteren

Id: NIST SP 800-171 R2 3.3.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 4.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0
De Log Analytics-extensie moet worden geïnstalleerd op virtuele-machineschaalsets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. AuditIfNotExists, uitgeschakeld 1.1.0
Op virtuele machines moet de Log Analytics-extensie zijn geïnstalleerd Met dit beleid worden alle virtuele Windows-/Linux-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Ervoor zorgen dat de acties van individuele systeemgebruikers uniek kunnen worden getraceerd voor die gebruikers, zodat zij verantwoordelijk kunnen worden gesteld voor hun acties.

Id: NIST SP 800-171 R2 3.3.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 4.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0
De Log Analytics-extensie moet worden geïnstalleerd op virtuele-machineschaalsets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. AuditIfNotExists, uitgeschakeld 1.1.0
Op virtuele machines moet de Log Analytics-extensie zijn geïnstalleerd Met dit beleid worden alle virtuele Windows-/Linux-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Waarschuwen als er een fout optreedt in het auditlogboekregistratieproces.

Id: NIST SP 800-171 R2 3.3.4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4

Correleert controlerecordbeoordelings-, analyse- en rapportageprocessen voor onderzoek en reactie op aanwijzingen van onrechtmatige, onbevoegde, verdachte of ongebruikelijke activiteiten.

Id: NIST SP 800-171 R2 3.3.5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. AuditIfNotExists, uitgeschakeld 1.0.4

Configuration Management

Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem.

Id: NIST SP 800-171 R2 3.4.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. Controle, uitgeschakeld 3.1.0 afgeschaft
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. Controle, uitgeschakeld 1.0.2
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. AuditIfNotExists, uitgeschakeld 2.0.0
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.2.0
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.1.0
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.2.0
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.1.0
Kubernetes-cluster mag geen bevoegde containers toestaan Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.1.0
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 8.1.0
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.5.0
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.0.0

Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen.

Id: NIST SP 800-171 R2 3.4.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. Controle, uitgeschakeld 3.1.0 afgeschaft
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. Controle, uitgeschakeld 1.0.2
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. AuditIfNotExists, uitgeschakeld 2.0.0
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.2.0
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.1.0
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.2.0
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.1
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.1.0
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.1.0
Kubernetes-cluster mag geen bevoegde containers toestaan Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 10.1.0
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 8.1.0
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.5.0
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.0.0

Gebruik het principe van de minste functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden.

Id: NIST SP 800-171 R2 3.4.6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3

Identificatie en verificatie

Systeemgebruikers, processen die optreden namens gebruikers, en apparaten identificeren.

Id: NIST SP 800-171 R2 3.5.1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Alleen cryptografisch beveiligde wachtwoorden opslaan en verzenden.

Id: NIST SP 800-171 R2 3.5.10 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben AuditIfNotExists, uitgeschakeld 1.4.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling AuditIfNotExists, uitgeschakeld 1.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.4.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0

De identiteit van gebruikers, processen of apparaten verifiëren als vereiste om toegang te verlenen tot organisatiesystemen.

Id: NIST SP 800-171 R2 3.5.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben AuditIfNotExists, uitgeschakeld 1.4.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling AuditIfNotExists, uitgeschakeld 1.0.0
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, uitgeschakeld 2.4.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.4.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Meervoudige verificatie gebruiken voor lokale en netwerktoegang tot bevoegde accounts en voor netwerktoegang tot niet-bevoegde accounts

Id: NIST SP 800-171 R2 3.5.3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0

Gebruik replay-bestendige verificatiemechanismen voor netwerktoegang tot bevoegde en niet-bevoegde accounts.

Id: NIST SP 800-171 R2 3.5.4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. AuditIfNotExists, uitgeschakeld 2.0.0

Voorkomen dat id's opnieuw worden gebruikt voor een gedefinieerde periode.

Id: NIST SP 800-171 R2 3.5.5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Schakel id's uit na een gedefinieerde periode van inactiviteit.

Id: NIST SP 800-171 R2 3.5.6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Dwing minimale wachtwoordcomplexiteit en wijziging van tekens af wanneer er nieuwe wachtwoorden worden gemaakt.

Id: NIST SP 800-171 R2 3.5.7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld AuditIfNotExists, uitgeschakeld 1.0.0
Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens AuditIfNotExists, uitgeschakeld 1.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0

Hergebruik van wachtwoorden voor een opgegeven aantal generaties verbieden.

Id: NIST SP 800-171 R2 3.5.8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 1.3.0
Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 AuditIfNotExists, uitgeschakeld 1.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0

Reageren op incidenten

Incidenten bijhouden, documenteren en rapporteren aan aangewezen ambtenaren en/of autoriteiten zowel intern als extern aan de organisatie.

Id: NIST SP 800-171 R2 3.6.2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 2.0.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1

Mediabeveiliging

Bescherm de vertrouwelijkheid van back-up CUI op opslaglocaties.

Id: NIST SP 800-171 R2 3.8.9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 3.0.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. Controleren, Weigeren, Uitgeschakeld 2.1.0
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. Controleren, Weigeren, Uitgeschakeld 3.0.0

Volgende stappen

Aanvullende artikelen over Azure Policy: