Delen via


Details van het ingebouwde initiatief naleving van regelgeving canada federal PBMM

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in Canada Federal PBMM. Zie Canada Federal PBMM voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen zijn aan de Canada Federal PBMM-beheeropties. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving in Canada Federal PBMM .

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Toegangsbeheer

Accountbeheer

Id: CCCS AC-2

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0

Accountbeheer | Op rollen gebaseerde planningen

Id: CCCS AC-2(7)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Afdwinging van gegevensstromen

Id: CCCS AC-4

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0

Scheiding van taken

Id: CCCS AC-5

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 2.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 2.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. AuditIfNotExists, uitgeschakeld 3.0.0

Minimale bevoegdheden

Id: CCCS AC-6

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 2.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. auditIfNotExists 2.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. AuditIfNotExists, uitgeschakeld 3.0.0

Externe toegang | Geautomatiseerd(e) bewaking/ beheer

Id: CCCS AC-17(1)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan AuditIfNotExists, uitgeschakeld 3.1.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1

Controle en verantwoordelijkheid

Inhoud van controlerecords

Id: CCCS AU-3

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1-preview
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. AuditIfNotExists, uitgeschakeld 1.1.0

Response to Audit Processing Failures

Id: CCCS AU-5

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Diagnostische instelling voor geselecteerde resourcetypen controleren Controleer diagnostische instelling voor geselecteerde resourcetypen Zorg ervoor dat u alleen resourcetypen selecteert die diagnostische instellingen ondersteunen. AuditIfNotExists 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2

Controlegeneratie

Id: CCCS AU-12

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1-preview
Diagnostische instelling voor geselecteerde resourcetypen controleren Controleer diagnostische instelling voor geselecteerde resourcetypen Zorg ervoor dat u alleen resourcetypen selecteert die diagnostische instellingen ondersteunen. AuditIfNotExists 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. AuditIfNotExists, uitgeschakeld 1.1.0

Plannen voor onvoorziene gebeurtenissen

Alternatieve verwerkingssite

Id: CCCS CP-7

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. auditIfNotExists 1.0.0

Identificatie en verificatie

Identificatie en verificatie (gebruikers binnen organisatie) | Netwerktoegang tot bevoegde accounts

Id: CCCS IA-2(1)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0

Verificatorbeheer

Id: CCCS IA-5

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben AuditIfNotExists, uitgeschakeld 3.1.0
Linux-machines controleren met accounts zonder wachtwoorden Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden AuditIfNotExists, uitgeschakeld 3.1.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0

Verificatorbeheer | Verificatie op basis van wachtwoorden

Id: CCCS IA-5(1)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 AuditIfNotExists, uitgeschakeld 2.1.0
Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen AuditIfNotExists, uitgeschakeld 2.1.0
Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag AuditIfNotExists, uitgeschakeld 2.1.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld AuditIfNotExists, uitgeschakeld 2.0.0
Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens AuditIfNotExists, uitgeschakeld 2.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0

Risicobeoordeling

Scannen op beveiligingsproblemen

Id: CCCS RA-5

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. AuditIfNotExists, uitgeschakeld 3.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0

Systeem- en communicatiebeveiliging

Denial of Service Protection

Id: CCCS SC-5

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure DDoS Protection moet zijn ingeschakeld DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. AuditIfNotExists, uitgeschakeld 3.0.1

Grensbescherming

Id: CCCS SC-7

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1

Grensbescherming | Toegangspunten

Id: CCCS SC-7(3)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0

Grensbescherming | Externe telecommunicatieservices

Id: CCCS SC-7(4)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0

Vertrouwelijkheid en integriteit van overdracht | Cryptografische of alternatieve fysieke beveiliging

Id: CCCS SC-8(1)

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 5.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 1.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. AuditIfNotExists, uitgeschakeld 4.1.1

Beveiliging van data-at-rest

Id: CCCS SC-28

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0

Systeem- en gegevensintegriteit

Foutherstel

Id: CCCS SI-2

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0

Informatiesysteembewaking

Id: CCCS SI-4

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1-preview
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. AuditIfNotExists, uitgeschakeld 1.1.0

Volgende stappen

Aanvullende artikelen over Azure Policy: