Details van het ingebouwde initiatief naleving van regelgeving in de Microsoft-cloudbeveiligingsbenchmark
In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in de Microsoft-cloudbeveiligingsbenchmark. Zie Microsoft Cloud Security Benchmark voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.
De volgende toewijzingen zijn de controles van de Microsoft-cloudbeveiligingsbenchmark . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie Naleving van regelgeving in de Microsoft-cloudbeveiligingsbenchmark .
Belangrijk
Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.
Netwerkbeveiliging
Netwerksegmentatiegrenzen vaststellen
Id: Microsoft Cloud Security Benchmark NS-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Cloudservices beveiligen met netwerkbesturingselementen
Id: Eigendom van Microsoft Cloud Security Benchmark NS-2: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Cognitive Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.1 afgeschaft |
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
Azure AI Services-resources moeten Gebruikmaken van Azure Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform vermindert risico's voor gegevenslekken door de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure te verwerken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AzurePrivateLink/Overview | Controle, uitgeschakeld | 1.0.0 |
Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Azure Cosmos DB moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw CosmosDB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw CosmosDB-account beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Databricks-clusters moeten het openbare IP-adres uitschakelen | Als u het openbare IP-adres van clusters uitschakelt in Azure Databricks Workspaces, verbetert u de beveiliging door ervoor te zorgen dat de clusters niet beschikbaar zijn op het openbare internet. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Azure Databricks-werkruimten moeten zich in een virtueel netwerk bevinden | Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Databricks-werkruimten, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Azure Databricks-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beheren door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Azure Databricks-werkruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Als u privé-eindpunten toewijst aan Azure Databricks-werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/adbpe. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Azure Machine Learning Computes moet zich in een virtueel netwerk bevinden | Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning Compute-clusters en -exemplaren, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een berekening is geconfigureerd met een virtueel netwerk, is het niet openbaar adresseerbaar en kan deze alleen worden geopend vanuit virtuele machines en toepassingen binnen het virtuele netwerk. | Controle, uitgeschakeld | 1.0.1 |
Azure Machine Learning-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Machine Learning-werkruimten niet beschikbaar zijn op het openbare internet. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
Azure Spring Cloud moet netwerkinjectie gebruiken | Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. | Controleren, uitgeschakeld, weigeren | 1.2.0 |
Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Ga naar https://aka.ms/mi-public-endpointvoor meer informatie over openbare netwerktoegang. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Firewall implementeren aan de rand van het bedrijfsnetwerk
Id: Microsoft Cloud Security Benchmark NS-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
DDOS-beveiliging implementeren
Id: Microsoft Cloud Security Benchmark NS-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure DDoS Protection moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Web Application Firewall implementeren
Id: Microsoft Cloud Security Benchmark NS-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Onveilige services en protocollen detecteren en uitschakelen
Id: Eigendom van Microsoft Cloud Security Benchmark NS-8: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Identiteitsbeheer
Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Id: Microsoft Cloud Security Benchmark IM-1 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Flexibele Azure PostgreSQL-server moet alleen Microsoft Entra-verificatie hebben ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra Authentication toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat de flexibele Server van Azure PostgreSQL uitsluitend toegankelijk is voor Microsoft Entra-identiteiten. | Controle, uitgeschakeld | 1.0.0-preview |
Een Microsoft Entra-beheerder moet worden ingericht voor PostgreSQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw PostgreSQL-server om Microsoft Entra-verificatie in te schakelen. Microsoft Entra-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Azure Machine Learning Computes moet lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Voor Machine Learning Computes uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Azure SQL Database moet alleen-microsoft-verificatie hebben ingeschakeld | Logische Azure SQL-servers vereisen voor het gebruik van Microsoft Entra-verificatie. Dit beleid blokkeert niet dat servers worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor Azure SQL Database moet microsoft-entra-verificatie zijn ingeschakeld tijdens het maken | Vereisen dat logische Azure SQL-servers worden gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
Voor Azure SQL Managed Instance moet alleen-entra-verificatie zijn ingeschakeld | Vereisen dat Azure SQL Managed Instance alleen Microsoft Entra-verificatie gebruikt. Met dit beleid wordt niet geblokkeerd dat Azure SQL Managed Instances worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Voor Azure SQL Managed Instances moet microsoft Entra-verificatie zijn ingeschakeld tijdens het maken | Vereisen dat Azure SQL Managed Instance wordt gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
Cosmos DB-databaseaccounts moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Cosmos DB-databaseaccounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen | Controleer de vereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory-referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Azure AD blinkt van deze twee typen autorisaties uit op het gebied van beveiliging en gebruiksgemak en wordt door Microsoft aanbevolen boven het gebruik van Gedeelde sleutel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Synapse-werkruimten moeten alleen-microsoft-verificatie hebben ingeschakeld | Synapse-werkruimten vereisen dat alleen Microsoft Entra-verificatie wordt gebruikt. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Synapse-werkruimten mogen alleen Microsoft Entra-identiteiten gebruiken voor verificatie tijdens het maken van de werkruimte | Vereisen dat Synapse-werkruimten worden gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
VPN-gateways mogen alleen Azure Active Directory-verificatie (Azure AD) gebruiken voor punt-naar-site-gebruikers | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat VPN Gateways alleen Azure Active Directory-identiteiten gebruiken voor verificatie. Meer informatie over Azure AD-verificatie vindt u op https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Toepassingsidentiteiten veilig en automatisch beheren
Id: Microsoft Cloud Security Benchmark IM-3 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Server en services verifiëren
Id: Microsoft Cloud Security Benchmark IM-4 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Meer informatie over de OWASP API Threat for Broken User Authentication vindt u hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, uitgeschakeld | 1.0.1 |
API Management-aanroepen naar API-back-ends moeten worden geverifieerd | Aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of dit via certificaten of referenties is. Is niet van toepassing op Service Fabric-back-ends. | Controleren, uitgeschakeld, weigeren | 1.0.1 |
API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan | Om de API-beveiliging te verbeteren, moet API Management het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren | Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
Krachtige verificatiebesturingselementen gebruiken
Id: Microsoft Cloud Security Benchmark IM-6 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
De blootstelling van referenties en geheimen beperken
Id: Microsoft Cloud Security Benchmark IM-8 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger | Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezengebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar geheime benoemde waarden uit Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Bevoegde toegang
Afzonderlijke en beperkte gebruikers met hoge bevoegdheden/gebruikers met beheerdersrechten
Id: Eigendom van Microsoft Cloud Security Benchmark PA-1: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Voorkom permanente toegang voor accounts en machtigingen
Id: Eigendom van Microsoft Cloud Security Benchmark PA-2: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Gebruikerstoegang regelmatig beoordelen en afstemmen
Id: Eigendom van Microsoft Cloud Security Benchmark PA-4: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Principe van minimale bevoegdheden hanteren
Id: Eigendom van Microsoft Cloud Security Benchmark PA-7: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
API Management-abonnementen mogen niet worden beperkt tot alle API's | API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services | Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren. | Controle, uitgeschakeld | 1.0.4 |
Gegevensbeveiliging
Gevoelige gegevens detecteren, classificeren en labelen
Id: Microsoft Cloud Security Benchmark DP-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Id: Eigendom van Microsoft Cloud Security Benchmark DP-2: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Gevoelige gegevens tijdens overdracht versleutelen
Id: Microsoft Cloud Security Benchmark DP-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen | Beveilig gegevens in het Azure Stack HCI-hostnetwerk en op netwerkverbindingen van virtuele machines. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
API Management-API's mogen alleen versleutelde protocollen gebruiken | Om de beveiliging van gegevens in transit te waarborgen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. | Controleren, uitgeschakeld, weigeren | 2.0.2 |
App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren | Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
Data-at-rest-versleuteling standaard inschakelen
Id: Eigendom van Microsoft Cloud Security Benchmark DP-4: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Een Microsoft Entra-beheerder moet worden ingericht voor MySQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw MySQL-server om Microsoft Entra-verificatie in te schakelen. Microsoft Entra-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Flexibele Azure MySQL-server moet alleen Microsoft Entra-verificatie hebben ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra Authentication toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat de flexibele Azure MySQL-server uitsluitend toegankelijk is voor Microsoft Entra-identiteiten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.1 |
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.1.1 |
De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Id: Microsoft Cloud Security Benchmark DP-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Azure Stack HCI-systemen moeten versleutelde volumes hebben | Gebruik BitLocker om het besturingssysteem en de gegevensvolumes op Azure Stack HCI-systemen te versleutelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) | Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
Een beveiligd sleutelbeheerproces gebruiken
Id: Microsoft Cloud Security Benchmark DP-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar geheime benoemde waarden uit Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
Een beveiligd certificaatbeheerproces gebruiken
Id: Eigendom van Microsoft Cloud Security Benchmark DP-7: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
Beveiliging van sleutel- en certificaatopslagplaats garanderen
Id: Microsoft Cloud Security Benchmark DP-8 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Assetbeheer
Alleen goedgekeurde services gebruiken
Id: Microsoft Cloud Security Benchmark AM-2 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure API Management-platformversie moet stv2 zijn | De versie van het Azure API Management stv1-rekenplatform wordt vanaf 31 augustus 2024 buiten gebruik gesteld en deze exemplaren moeten worden gemigreerd naar het stv2-rekenplatform voor continue ondersteuning. Meer informatie vindt u op https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Beveiliging van levenscyclusbeheer van assets garanderen
Id: Microsoft Cloud Security Benchmark AM-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen voor uw organisatie. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar mogelijk per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Logboekregistratie en bedreigingsdetectie
Mogelijkheden voor detectie van bedreigingen inschakelen
Id: Microsoft Cloud Security Benchmark LT-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde PostgreSQL flexibele servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender for Containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL-status moet worden beveiligd voor SQL-servers met Arc | Microsoft Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases, het detecteren en classificeren van gevoelige gegevens. Zodra deze optie is ingeschakeld, geeft de beveiligingsstatus aan dat de resource actief wordt bewaakt. Zelfs wanneer Defender is ingeschakeld, moeten meerdere configuratie-instellingen worden gevalideerd op de agent, computer, werkruimte en SQL-server om actieve beveiliging te garanderen. | Controle, uitgeschakeld | 1.0.1 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de op SQL gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer
Id: Microsoft Cloud Security Benchmark LT-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde PostgreSQL flexibele servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender for Containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL-status moet worden beveiligd voor SQL-servers met Arc | Microsoft Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases, het detecteren en classificeren van gevoelige gegevens. Zodra deze optie is ingeschakeld, geeft de beveiligingsstatus aan dat de resource actief wordt bewaakt. Zelfs wanneer Defender is ingeschakeld, moeten meerdere configuratie-instellingen worden gevalideerd op de agent, computer, werkruimte en SQL-server om actieve beveiliging te garanderen. | Controle, uitgeschakeld | 1.0.1 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de op SQL gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Logboekregistratie inschakelen voor beveiligingsonderzoek
Id: Microsoft Cloud Security Benchmark LT-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Diagnostische logboeken in Azure AI-services-resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services-resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Azure Databricks-werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld | De resourcelogboeken van Azure Kubernetes Service kunnen helpen bij het opnieuw maken van activiteitentrails bij het onderzoeken van beveiligingsincidenten. Schakel deze in om ervoor te zorgen dat de logboeken bestaan wanneer dat nodig is | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Resourcelogboeken in Azure Machine Learning-werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Netwerklogboekregistratie inschakelen voor beveiligingsonderzoek
Id: Microsoft Cloud Security Benchmark LT-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
Beheer en analyse van beveiligingslogboeken centraliseren
Id: Microsoft Cloud Security Benchmark LT-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
Retentie van logboekopslag configureren
Id: Microsoft Cloud Security Benchmark LT-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Incidentrespons
Voorbereiding - incidentmelding instellen
Id: Eigendom van Microsoft Cloud Security Benchmark IR-2: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Detectie en analyse: incidenten maken op basis van waarschuwingen van hoge kwaliteit
Id: Microsoft Cloud Security Benchmark IR-3 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde PostgreSQL flexibele servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL-status moet worden beveiligd voor SQL-servers met Arc | Microsoft Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases, het detecteren en classificeren van gevoelige gegevens. Zodra deze optie is ingeschakeld, geeft de beveiligingsstatus aan dat de resource actief wordt bewaakt. Zelfs wanneer Defender is ingeschakeld, moeten meerdere configuratie-instellingen worden gevalideerd op de agent, computer, werkruimte en SQL-server om actieve beveiliging te garanderen. | Controle, uitgeschakeld | 1.0.1 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de op SQL gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Detectie en analyse : een incident onderzoeken
Id: Microsoft Cloud Security Benchmark IR-4 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Detectie en analyse- prioriteit geven aan incidenten
Id: AMicrosoft Cloud Security Benchmark IR-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde PostgreSQL flexibele servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Microsoft Defender voor SQL-status moet worden beveiligd voor SQL-servers met Arc | Microsoft Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases, het detecteren en classificeren van gevoelige gegevens. Zodra deze optie is ingeschakeld, geeft de beveiligingsstatus aan dat de resource actief wordt bewaakt. Zelfs wanneer Defender is ingeschakeld, moeten meerdere configuratie-instellingen worden gevalideerd op de agent, computer, werkruimte en SQL-server om actieve beveiliging te garanderen. | Controle, uitgeschakeld | 1.0.1 |
Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de op SQL gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Beheer van beveiligingspostuur en beveiligingsproblemen
Veilige configuraties controleren en afdwingen
Id: Microsoft Cloud Security Benchmark PV-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld | De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service wordt verhoogd. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger | Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezengebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Azure API Management-platformversie moet stv2 zijn | De versie van het Azure API Management stv1-rekenplatform wordt vanaf 31 augustus 2024 buiten gebruik gesteld en deze exemplaren moeten worden gemigreerd naar het stv2-rekenplatform voor continue ondersteuning. Meer informatie vindt u op https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd | De Azure Policy-extensie voor Azure Arc biedt op schaal afdwinging en beveiliging op uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier. Meer informatie op https://aka.ms/akspolicydoc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
Azure Machine Learning-rekeninstanties moeten opnieuw worden gemaakt om de nieuwste software-updates op te halen | Zorg ervoor dat Azure Machine Learning-rekeninstanties worden uitgevoerd op het meest recente beschikbare besturingssysteem. Beveiliging wordt verbeterd en beveiligingsproblemen worden verminderd door te worden uitgevoerd met de nieuwste beveiligingspatches. U vindt meer informatie op https://aka.ms/azureml-ci-updates/. | [parameters('effecten')] | 1.0.3 |
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
Veilige configuraties voor rekenresources controleren en afdwingen
Id: Eigendom van Microsoft Cloud Security Benchmark PV-4: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
[Preview]: Azure Stack HCI-servers moeten consistent beleid voor toepassingsbeheer hebben afgedwongen | Pas minimaal het Basisbeleid van Microsoft WDAC toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste WDAC-beleidsregels (Windows Defender Application Control) moeten consistent zijn op alle servers in hetzelfde cluster. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
[Preview]: Azure Stack HCI-servers moeten voldoen aan de vereisten voor beveiligde kernen | Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. De vereisten voor de Secured Core-server inschakelen: 1. Ga op de pagina Azure Stack HCI-clusters naar het Windows-beheercentrum en selecteer Verbinding maken. 2. Ga naar de beveiligingsextensie en selecteer Secured-core. 3. Selecteer een instelling die niet is ingeschakeld en klik op Inschakelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
[Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
[Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te laten attesteren en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
[Preview]: De extensie gastverklaring moet worden geïnstalleerd op ondersteunde virtuele Windows-machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
[Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines-schaalsets | Installeer de Gast attestation-extensie op ondersteunde virtuele-machineschaalsets om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
[Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
[Preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines | Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | Controle, uitgeschakeld | 4.0.0-preview |
[Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Controle, uitgeschakeld | 2.0.0-preview |
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Evaluaties van beveiligingsproblemen uitvoeren
Id: Microsoft Cloud Security Benchmark PV-5 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Beveiligingsproblemen snel en automatisch oplossen
Id: Microsoft Cloud Security Benchmark PV-6 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.7.0 |
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Eindpuntbeveiliging
Eindpuntdetectie en -respons gebruiken (EDR)
Id: Microsoft Cloud Security Benchmark ES-1 Ownership: Shared
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
Moderne antimalwaresoftware gebruiken
Id: Eigendom van Microsoft Cloud Security Benchmark ES-2: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Back-up en herstel
Regelmatige geautomatiseerde back-ups garanderen
Id: Microsoft Cloud Security Benchmark BR-1 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Back-up- en herstelgegevens beveiligen
Id: Microsoft Cloud Security Benchmark BR-2 Eigendom: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
DevOps-beveiliging
Beveiliging van workload afdwingen gedurende de DevOps-levenscyclus
Id: Eigendom van Microsoft Cloud Security Benchmark DS-6: Gedeeld
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Volgende stappen
Aanvullende artikelen over Azure Policy:
- Overzicht voor naleving van regelgeving.
- Bekijk de structuur van initiatiefdefinities.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.