Details van het ingebouwde initiatief voor naleving van regelgeving van IRS 1075 september 2016

Artikel
24-02-2025

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Regelgeving in Azure Policy wordt toegewezen aan nalevingsdomeinen en controles in IRS 1075 september 2016. Zie IRS 1075 september 2016 voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen zijn voor de besturingselementen IRS 1075 september 2016 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving IRS1075 september 2016 .

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Toegangsbeheer

Externe toegang (AC-17)

Id: IRS 1075 9.3.1.12

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan	AuditIfNotExists, uitgeschakeld	3.1.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's	Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	3.1.0
Functie-apps moeten externe foutopsporing uitschakelen	Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld.	AuditIfNotExists, uitgeschakeld	2.0.0
Netwerktoegang tot opslagaccounts moet zijn beperkt	Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet	Controleren, Weigeren, Uitgeschakeld	1.1.1

Accountbeheer (AC-2)

Id: IRS 1075 9.3.1.2

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers	Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk	AuditIfNotExists, uitgeschakeld	1.0.0
Gebruik van aangepaste RBAC-rollen controleren	Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering	Controle, uitgeschakeld	1.0.1
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer	Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie	Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren	Controleren, Weigeren, Uitgeschakeld	1.1.0

Afdwinging van informatiestromen (AC-4)

Id: IRS 1075 9.3.1.4

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps	CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app.	AuditIfNotExists, uitgeschakeld	2.0.0

Scheiding van taken (AC-5)

Id: IRS 1075 9.3.1.5

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement	Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.	AuditIfNotExists, uitgeschakeld	3.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter.	auditIfNotExists	2.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter.	auditIfNotExists	2.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's	Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	1.2.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement	Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.	AuditIfNotExists, uitgeschakeld	3.0.0

Minimale bevoegdheid (AC-6)

Id: IRS 1075 9.3.1.6

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement	Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.	AuditIfNotExists, uitgeschakeld	3.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter.	auditIfNotExists	2.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter.	auditIfNotExists	2.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's	Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	1.2.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement	Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.	AuditIfNotExists, uitgeschakeld	3.0.0

Risicobeoordeling

Scannen op beveiligingsproblemen (RA-5)

Id: IRS 1075 9.3.14.3

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)	Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost	Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases.	AuditIfNotExists, uitgeschakeld	4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld	Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.1.0

Systeem- en communicatiebeveiliging

Bescherming van data-at-rest (SC-28)

Id: IRS 1075 9.3.16.15

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld	Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten	AuditIfNotExists, uitgeschakeld	2.0.0

Denial of Service Protection (SC-5)

Id: IRS 1075 9.3.16.4

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure DDoS Protection moet zijn ingeschakeld	DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres.	AuditIfNotExists, uitgeschakeld	3.0.1

Grensbescherming (SC-7)

Id: IRS 1075 9.3.16.5

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine	Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.	AuditIfNotExists, uitgeschakeld	3.0.0
Netwerktoegang tot opslagaccounts moet zijn beperkt	Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet	Controleren, Weigeren, Uitgeschakeld	1.1.1

Vertrouwelijkheid en integriteit van verzending (SC-8)

Id: IRS 1075 9.3.16.6

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	4.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's	Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	1.2.0
Functie-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	5.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld	Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	1.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen	Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen.	AuditIfNotExists, uitgeschakeld	4.1.1

Systeem- en gegevensintegriteit

Foutherstel (SI-2)

Id: IRS 1075 9.3.17.2

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)	Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.	AuditIfNotExists, uitgeschakeld	3.0.0
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost	Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases.	AuditIfNotExists, uitgeschakeld	4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld	Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.1.0

Informatiesysteembewaking (SI-4)

Id: IRS 1075 9.3.17.4

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1-preview
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte	Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief.	AuditIfNotExists, uitgeschakeld	1.1.0

Bewustzijn en training

Controlegeneratie (AU-12)

Id: IRS 1075 9.3.3.11

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1-preview
Diagnostische instelling voor geselecteerde resourcetypen controleren	Controleer diagnostische instelling voor geselecteerde resourcetypen Zorg ervoor dat u alleen resourcetypen selecteert die diagnostische instellingen ondersteunen.	AuditIfNotExists	2.0.1
Controle op SQL Server moet zijn ingeschakeld	Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.	AuditIfNotExists, uitgeschakeld	2.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte	Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief.	AuditIfNotExists, uitgeschakeld	1.1.0

Inhoud van auditrecords (AU-3)

Id: IRS 1075 9.3.3.3

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1-preview
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte	Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief.	AuditIfNotExists, uitgeschakeld	1.1.0

Reactie op verwerkingsfouten controleren (AU-5)

Id: IRS 1075 9.3.3.5

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Diagnostische instelling voor geselecteerde resourcetypen controleren	Controleer diagnostische instelling voor geselecteerde resourcetypen Zorg ervoor dat u alleen resourcetypen selecteert die diagnostische instellingen ondersteunen.	AuditIfNotExists	2.0.1
Controle op SQL Server moet zijn ingeschakeld	Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.	AuditIfNotExists, uitgeschakeld	2.0.0
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2

Controlebeoordeling, analyse en rapportage (AU-6)

Id: IRS 1075 9.3.3.6

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1-preview
De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines	Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd.	AuditIfNotExists, uitgeschakeld	2.0.1
Virtuele machines moeten zijn verbonden met een opgegeven werkruimte	Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief.	AuditIfNotExists, uitgeschakeld	1.1.0

Plannen voor onvoorziene gebeurtenissen

Alternatieve verwerkingssite (CP-7)

Id: IRS 1075 9.3.6.6

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd	Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen.	auditIfNotExists	1.0.0

Identificatie en verificatie

Verificatorbeheer (IA-5)

Id: IRS 1075 9.3.7.5

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)	Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	wijzigen	4.1.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben	AuditIfNotExists, uitgeschakeld	3.1.0
Linux-machines controleren met accounts zonder wachtwoorden	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden	AuditIfNotExists, uitgeschakeld	3.1.0
Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24	AuditIfNotExists, uitgeschakeld	2.1.0
Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen	AuditIfNotExists, uitgeschakeld	2.1.0
Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag	AuditIfNotExists, uitgeschakeld	2.1.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld	AuditIfNotExists, uitgeschakeld	2.0.0
Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens	AuditIfNotExists, uitgeschakeld	2.1.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling	Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling	AuditIfNotExists, uitgeschakeld	2.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's	Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	3.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's	Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.	deployIfNotExists	1.2.0

Volgende stappen

Aanvullende artikelen over Azure Policy:

Overzicht voor naleving van regelgeving.
Bekijk de structuur van initiatiefdefinities.
Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
Lees Informatie over de effecten van het beleid.
Ontdek hoe u niet-compatibele resources kunt herstellen.

Delen via