Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 1.4.0 Regulatory Compliance
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.4.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.
Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.4.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.4.0 Zgodność z przepisami.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
1 Zarządzanie tożsamościami i dostępem
Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich uprzywilejowanych użytkowników
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Użytkownicy mogą dodawać aplikacje z galerii do Moje aplikacje" jest ustawiona na wartość "Nie"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.10 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość "Nie"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.11 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie "Ograniczenia dostępu użytkowników-gości" jest ustawione na wartość "Dostęp użytkowników-gości jest ograniczony do właściwości i członkostwa w własnych obiektach katalogu"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.12 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.12 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie "Ograniczenia zapraszania gościa" ma wartość "Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.13 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Ogranicz dostęp do portalu administracyjnego usługi Azure AD" ma wartość "Tak"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.14 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Ogranicz możliwość dostępu użytkowników do funkcji grup w okienku dostępu" ma wartość "Tak"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu" jest ustawiona na "Nie"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.17 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń w usłudze Azure AD" jest ustawiona na wartość "Tak"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Spełnianie wymagań dotyczących jakości tokenów | CMA_0487 — spełnianie wymagań dotyczących jakości tokenu | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich użytkowników niebędących uprzywilejowanych
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.2 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że nie są tworzone żadne niestandardowe role właściciela subskrypcji
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.20 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienia domyślne zabezpieczeń są włączone w usłudze Azure Active Directory
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.21 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.21 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie w module kryptograficznym | CMA_0021 — uwierzytelnianie w module kryptograficznym | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Spełnianie wymagań dotyczących jakości tokenów | CMA_0487 — spełnianie wymagań dotyczących jakości tokenu | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że rola niestandardowa ma przypisane uprawnienia do administrowania blokadami zasobów
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że użytkownicy-goście są przeglądani co miesiąc
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami | CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Przeglądanie uprawnień użytkownika | CMA_C1039 — przeglądanie uprawnień użytkownika | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Przywracanie uwierzytelniania wieloskładnikowego na wszystkich zapamiętanych urządzeniach" jest włączona
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
Spełnianie wymagań dotyczących jakości tokenów | CMA_0487 — spełnianie wymagań dotyczących jakości tokenu | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wartość "Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania" nie jest ustawiona na wartość "0".
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.6 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że "Powiadamiaj użytkowników o zresetowaniu haseł?". jest ustawiona na wartość "Tak"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.7 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło?". jest ustawiona na wartość "Tak"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Użytkownicy mogą wyrazić zgodę na aplikacje, które uzyskują dostęp do danych firmowych w ich imieniu" jest ustawiona na wartość "Nie"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.9 : współużytkowany)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
2 Microsoft Defender dla Chmury
Upewnij się, że usługa Microsoft Defender dla serwerów jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.1 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wybrano integrację aplikacji Microsoft Defender dla Chmury (MCAS) z Microsoft Defender dla Chmury
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.10 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że automatyczna aprowizacja agenta usługi Log Analytics dla maszyn wirtualnych platformy Azure ma wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.11 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że żadne z domyślnych ustawień zasad usługi ASC nie jest ustawione na wartość "Wyłączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie akcji dla niezgodnych urządzeń | CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń | Ręczne, wyłączone | 1.1.0 |
Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Ustanawianie tablicy sterowania konfiguracji | CMA_0254 — ustanawianie tablicy sterowania konfiguracji | Ręczne, wyłączone | 1.1.0 |
Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana przy użyciu poczty e-mail kontaktu zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.13 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 2.14 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
Upewnij się, że usługa Microsoft Defender dla usługi App Service jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender dla usługi Azure SQL Databases jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender dla serwerów SQL na maszynach jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender for Storage jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender dla platformy Kubernetes jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender dla rejestrów kontenerów jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Microsoft Defender dla usługi Key Vault jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.8 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wybrano integrację Ochrona punktu końcowego w usłudze Microsoft Defender (WDATP) z Microsoft Defender dla Chmury
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
3 konta magazynu
Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Blob Service dla żądań "Odczyt", "Zapis" i "Usuń"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.10 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Table Service dla żądań "Odczyt", "Zapis" i "Usuń"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.11 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.11 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla ustawienia "Minimalna wersja protokołu TLS" jest ustawiona wartość "Wersja 1.2"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.12 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że klucze dostępu do konta magazynu są okresowo ponownie generowane
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że rejestrowanie magazynu jest włączone dla usługi kolejki dla żądań "Odczyt", "Zapis" i "Usuń"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że tokeny sygnatury dostępu współdzielonego wygasają w ciągu godziny
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
Automatyczne kończenie sesji użytkownika | CMA_C1054 — automatyczne kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla kontenerów obiektów blob ustawiono wartość "Poziom dostępu publicznego"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.5 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu ma ustawioną wartość Odmów
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona dla dostępu do konta magazynu
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu kluczy zarządzanych przez klienta
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 3.9 : własność udostępniona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
4 Usługi baz danych
Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że opcja Advanced Threat Protection (ATP) w programie SQL Server jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że ustawienie oceny luk w dostępności "Okresowe skanowanie cykliczne" na "włączone" dla każdego serwera SQL
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie oceny luk w zabezpieczeń "Wysyłanie raportów skanowania do" jest skonfigurowane dla serwera SQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korelowanie informacji o skanowaniu luk w zabezpieczeniach | CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.1 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie oceny luk w zabezpieczeniach "Wyślij również powiadomienia e-mail do administratorów i właścicieli subskrypcji" jest ustawione dla każdego programu SQL Server
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korelowanie informacji o skanowaniu luk w zabezpieczeniach | CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.1 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. | AuditIfNotExists, Disabled | 1.0.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że parametr serwera "log_retention_days" jest dłuższy niż 3 dni dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja Zezwalaj na dostęp do usług platformy Azure dla serwera bazy danych PostgreSQL jest wyłączona
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.7 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja "Podwójne szyfrowanie infrastruktury" dla serwera bazy danych PostgreSQL jest włączona
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.8 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla serwera bazy danych MySQL w warstwie Standardowa ustawiono wartość "Wymuszaj połączenie SSL"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla elastycznego serwera bazy danych MySQL ustawiono wartość "WERSJA PROTOKOŁU TLS 1.2"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że skonfigurowano administratora usługi Azure Active Directory
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu klucza zarządzanego przez klienta
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.6 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.6 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
5 Rejestrowanie i monitorowanie
Upewnij się, że istnieje ustawienie diagnostyki
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że ustawienie diagnostyczne przechwytuje odpowiednie kategorie
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że kontener magazynu przechowując dzienniki aktywności nie jest publicznie dostępny
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK (Użyj własnego klucza)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
Zachowaj integralność systemu inspekcji | CMA_C1133 — utrzymywanie integralności systemu inspekcji | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że alert dziennika aktywności istnieje dla przypisania zasad usuwania
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dla reguły zapory programu SQL Server istnieje alert tworzenia lub aktualizowania lub usuwania dziennika aktywności
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 5.2.9 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dzienniki diagnostyczne są włączone dla wszystkich usług, które je obsługują.
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared (CiS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
6 Sieci
Upewnij się, że żadne bazy danych SQL nie zezwalają na ruch przychodzący 0.0.0.0/0 (DOWOLNY adres IP)
ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.3 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 6.3 : własność udostępniona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że okres przechowywania dziennika przepływu sieciowej grupy zabezpieczeń wynosi "więcej niż 90 dni"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że usługa Network Watcher jest włączona
ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
Weryfikowanie funkcji zabezpieczeń | CMA_C1708 — weryfikowanie funkcji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
7 Maszyny wirtualne
Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dyski systemu operacyjnego i danych są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że "Niedołączone dyski" są szyfrowane przy użyciu klucza zarządzanego przez klienta
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.3 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że zainstalowane są tylko zatwierdzone rozszerzenia
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Upewnij się, że zastosowano najnowsze poprawki systemu operacyjnego dla wszystkich maszyn wirtualnych
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.5 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
Upewnij się, że jest zainstalowana ochrona punktu końcowego dla wszystkich maszyn wirtualnych
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że dyski VHD są szyfrowane
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.7 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
8 Inne zagadnienia dotyczące zabezpieczeń
Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy RBAC
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy innych niż RBAC.
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy RBAC
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.3 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy innych niż RBAC
IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że blokady zasobów zostały ustawione dla zasobów platformy Azure o znaczeniu krytycznym
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że magazyn kluczy można odzyskać
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 8.6: współdzielona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
Utrzymywanie dostępności informacji | CMA_C1644 — utrzymywanie dostępności informacji | Ręczne, wyłączone | 1.1.0 |
Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.7 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.4 |
9 AppService
Upewnij się, że uwierzytelnianie usługi App Service jest skonfigurowane dla aplikacji w usłudze aplikacja systemu Azure Service
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AuditIfNotExists, Disabled | 2.0.1 |
Uwierzytelnianie w module kryptograficznym | CMA_0021 — uwierzytelnianie w module kryptograficznym | Ręczne, wyłączone | 1.1.0 |
Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
Aplikacje funkcji powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AuditIfNotExists, Disabled | 3.0.0 |
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wdrożenia FTP są wyłączone
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że magazyny kluczy platformy Azure są używane do przechowywania wpisów tajnych
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.11 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją | CMA_C1199 — upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją | Ręczne, wyłączone | 1.1.0 |
Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Utrzymywanie dostępności informacji | CMA_C1644 — utrzymywanie dostępności informacji | Ręczne, wyłączone | 1.1.0 |
Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Uwierzytelnianie w module kryptograficznym | CMA_0021 — uwierzytelnianie w module kryptograficznym | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wartość "Wersja PHP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 9.6 : własność udostępniona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że "Wersja języka Python" jest najnowszą stabilną wersją, jeśli jest używana do uruchamiania aplikacji internetowej
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.7 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.8 Ownership: Shared)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.