Szczegóły wbudowanej inicjatywy FedRAMP High Regulatory Compliance
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w programie FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.
Następujące mapowania dotyczą kontrolek FedRAMP High . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy FedRAMP High Regulatory Compliance.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Kontrola dostępu
Zasady i procedury kontroli dostępu
IDENTYFIKATOR: Własność FedRAMP High AC-1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kontem
IDENTYFIKATOR: Własność FedRAMP High AC-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych | CMA_0117 — definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych | Ręczne, wyłączone | 1.1.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorowanie aktywności konta | CMA_0377 — monitorowanie aktywności konta | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Automatyczne zarządzanie kontami systemu
ID: FedRAMP High AC-2 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Wyłączanie nieaktywnych kont
Identyfikator: FedRAMP High AC-2 (3) Własność: współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
Zautomatyzowane akcje inspekcji
Id: FedRAMP High AC-2 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
Wylogowywanie braku aktywności
IDENTYFIKATOR: Własność FedRAMP High AC-2 (5): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i wymuszanie zasad dziennika braku aktywności | CMA_C1017 — definiowanie i wymuszanie zasad dziennika braku aktywności | Ręczne, wyłączone | 1.1.0 |
Schematy oparte na rolach
Id: FedRAMP High AC-2 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Monitorowanie aktywności konta | CMA_0377 — monitorowanie aktywności konta | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Ograniczenia dotyczące korzystania z udostępnionych grup/kont
Identyfikator: FedRAMP High AC-2 (9) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych | CMA_0117 — definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych | Ręczne, wyłączone | 1.1.0 |
Zakończenie poświadczeń konta udostępnionego/grupy
ID: FedRAMP High AC-2 (10) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kończenie poświadczeń konta kontrolowanego przez klienta | CMA_C1022 — kończenie poświadczeń konta kontrolowanego przez klienta | Ręczne, wyłączone | 1.1.0 |
Warunki użycia
ID: FedRAMP High AC-2 (11) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie odpowiedniego użycia wszystkich kont | CMA_C1023 — wymuszanie odpowiedniego użycia wszystkich kont | Ręczne, wyłączone | 1.1.0 |
Monitorowanie konta/nietypowe użycie
Id: FedRAMP High AC-2 (12) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorowanie aktywności konta | CMA_0377 — monitorowanie aktywności konta | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Wyłączanie kont dla osób o wysokim ryzyku
ID: FedRAMP High AC-2 (13) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyłączanie kont użytkowników stwarzających znaczne ryzyko | CMA_C1026 — wyłączanie kont użytkowników stwarzających znaczne ryzyko | Ręczne, wyłączone | 1.1.0 |
Wymuszanie dostępu
IDENTYFIKATOR: Własność FedRAMP High AC-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Wymuszanie przepływu informacji
Id: FedRAMP High AC-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 3.2.1 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont usług Cognitive Services, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://go.microsoft.com/fwlink/?linkid=2129800. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 3.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
Filtry zasad zabezpieczeń
IDENTYFIKATOR: Własność FedRAMP High AC-4 (8): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń | CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Fizyczne/logiczne rozdzielenie przepływów informacji
Identyfikator: FedRAMP High AC-4 (21) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
Rozdzielenie obowiązków
IDENTYFIKATOR: Własność FedRAMP High AC-5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków | CMA_0116 — definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków | Ręczne, wyłączone | 1.1.0 |
| Dokument rozdzielania obowiązków | CMA_0204 — dokument rozdzielania obowiązków | Ręczne, wyłączone | 1.1.0 |
| Oddzielne obowiązki osób fizycznych | CMA_0492 - Oddzielne obowiązki osób fizycznych | Ręczne, wyłączone | 1.1.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Najmniej uprzywilejowane
Id: FedRAMP High AC-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
Autoryzowanie dostępu do funkcji zabezpieczeń
Identyfikator: FedRAMP High AC-6 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Uprzywilejowane konta
Id: FedRAMP High AC-6 (5) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
Przegląd uprawnień użytkownika
ID: FedRAMP High AC-6 (7) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami | CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie uprawnień użytkownika | CMA_C1039 — przeglądanie uprawnień użytkownika | Ręczne, wyłączone | 1.1.0 |
Poziomy uprawnień na potrzeby wykonywania kodu
IDENTYFIKATOR: FedRAMP High AC-6 (8) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie uprawnień wykonywania oprogramowania | CMA_C1041 — wymuszanie uprawnień wykonywania oprogramowania | Ręczne, wyłączone | 1.1.0 |
Inspekcja użycia funkcji uprzywilejowanych
Identyfikator: FedRAMP High AC-6 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | CMA_0056 — przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Nieudane próby logowania
IDENTYFIKATOR: Własność FedRAMP High AC-7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie limitu kolejnych nieudanych prób logowania | CMA_C1044 — wymuszanie limitu kolejnych nieudanych prób logowania | Ręczne, wyłączone | 1.1.0 |
Współbieżna kontrola sesji
Identyfikator: FedRAMP High AC-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i wymuszanie limitu sesji współbieżnych | CMA_C1050 — definiowanie i wymuszanie limitu współbieżnych sesji | Ręczne, wyłączone | 1.1.0 |
Zakończenie sesji
Identyfikator: FedRAMP High AC-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyczne kończenie sesji użytkownika | CMA_C1054 — automatyczne kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
Wylogowywanie inicjowane przez użytkownika/wyświetlanie komunikatów
Identyfikator: FedRAMP High AC-12 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyświetlanie jawnego komunikatu wylogowywanie | CMA_C1056 — wyświetlanie jawnego komunikatu wylogowywanie | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie możliwości wylogowywanie | CMA_C1055 — zapewnianie możliwości wylogowywanie | Ręczne, wyłączone | 1.1.0 |
Dozwolone akcje bez identyfikacji lub uwierzytelniania
Identyfikator: FedRAMP High AC-14 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie akcji dozwolonych bez uwierzytelniania | CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
Dostęp zdalny
ID: FedRAMP High AC-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Spring Cloud powinna używać iniekcji sieci | Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. | Inspekcja, Wyłączone, Odmowa | 1.2.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
Automatyczne monitorowanie/sterowanie
Identyfikator: FedRAMP High AC-17 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Spring Cloud powinna używać iniekcji sieci | Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. | Inspekcja, Wyłączone, Odmowa | 1.2.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
Ochrona poufności/integralności przy użyciu szyfrowania
ID: FedRAMP High AC-17 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Zarządzane punkty kontroli dostępu
Identyfikator: FedRAMP High AC-17 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
Polecenia uprzywilejowane /dostęp
ID: FedRAMP High AC-17 (4) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego do poleceń uprzywilejowanych | CMA_C1064 — autoryzowanie dostępu zdalnego do poleceń uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Rozłączanie/wyłączanie dostępu
Identyfikator: FedRAMP High AC-17 (9) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie możliwości odłączenia lub wyłączenia dostępu zdalnego | CMA_C1066 — umożliwia rozłączanie lub wyłączanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
Dostęp bezprzewodowy
Identyfikator: FedRAMP High AC-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Ochrona dostępu bezprzewodowego | CMA_0411 — ochrona dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie i szyfrowanie
Identyfikator: FedRAMP High AC-18 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Ochrona dostępu bezprzewodowego | CMA_0411 — ochrona dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu dla urządzeń przenośnych
Id: FedRAMP High AC-19 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
Pełne szyfrowanie urządzenia/oparte na kontenerze
Identyfikator: FedRAMP High AC-19 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
Korzystanie z zewnętrznych systemów informacyjnych
Identyfikator: FedRAMP High AC-20 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | CMA_C1076 — ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | CMA_C1077 — ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | Ręczne, wyłączone | 1.1.0 |
Limity dotyczące autoryzowanego użycia
Identyfikator: FedRAMP High AC-20 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | CMA_0541 — weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Przenośne urządzenia magazynujące
Identyfikator: FedRAMP High AC-20 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Udostępnianie informacji
ID: FedRAMP High AC-21 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie decyzji dotyczących udostępniania informacji | CMA_0028 — automatyzowanie decyzji dotyczących udostępniania informacji | Ręczne, wyłączone | 1.1.0 |
| Ułatwianie udostępniania informacji | CMA_0284 — ułatwia udostępnianie informacji | Ręczne, wyłączone | 1.1.0 |
Publicznie dostępna zawartość
Identyfikator: FedRAMP High AC-22 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zawartości przed opublikowaniem publicznie dostępnych informacji | CMA_C1085 — przeglądanie zawartości przed opublikowaniem publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie publicznie dostępnej zawartości pod kątem informacji niepublikacyjnych | CMA_C1086 — przeglądanie publicznie dostępnej zawartości pod kątem informacji niepublikacyjnych | Ręczne, wyłączone | 1.1.0 |
| Szkolenie personelu w sprawie ujawnienia informacji niepublicowych | CMA_C1084 — szkolenie personelu w zakresie ujawniania informacji niepublicowych | Ręczne, wyłączone | 1.1.0 |
Świadomość i szkolenie
Zasady i szkolenia dotyczące zabezpieczeń oraz zasady
Identyfikator: Własność FedRAMP High AT-1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Szkolenie dotyczące świadomości zabezpieczeń
IDENTYFIKATOR: Własność FedRAMP High AT-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie zaktualizowanego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1090 — zapewnianie zaktualizowanych szkoleń dotyczących świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zagrożenie dla niejawnych testerów
ID: FedRAMP High AT-2 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych | CMA_0417 — zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych | Ręczne, wyłączone | 1.1.0 |
Trenowanie zabezpieczeń oparte na rolach
IDENTYFIKATOR: Własność FedRAMP High AT-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie trenowania zabezpieczeń opartego na rolach | CMA_C1094 — zapewnianie trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | Ręczne, wyłączone | 1.1.0 |
Ćwiczenia praktyczne
ID: FedRAMP High AT-3 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie praktycznych ćwiczeń opartych na rolach | CMA_C1096 — zapewnianie praktycznych ćwiczeń opartych na rolach | Ręczne, wyłączone | 1.1.0 |
Podejrzana komunikacja i nietypowe zachowanie systemu
IDENTYFIKATOR: Własność FedRAMP High AT-3 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkolenia opartego na rolach na podejrzanych działaniach | CMA_C1097 — zapewnianie szkolenia opartego na rolach na podejrzanych działaniach | Ręczne, wyłączone | 1.1.0 |
Rekordy trenowania zabezpieczeń
ID: FedRAMP High AT-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie ukończenia trenowania zabezpieczeń i prywatności | CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie rekordów treningowych | CMA_0456 — zachowywanie rekordów treningowych | Ręczne, wyłączone | 1.1.0 |
Inspekcja i odpowiedzialność
Zasady i procedury inspekcji i odpowiedzialności
IDENTYFIKATOR: Własność FedRAMP High AU-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Zdarzenia inspekcji
Identyfikator: Własność FedRAMP High AU-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Recenzje i Aktualizacje
IDENTYFIKATOR: Własność FedRAMP High AU-2 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 | CMA_C1106 — przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 | Ręczne, wyłączone | 1.1.0 |
Zawartość rekordów inspekcji
IDENTYFIKATOR: Własność FedRAMP High AU-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
Dodatkowe informacje o inspekcji
ID: FedRAMP High AU-3 (1) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
Inspekcja pojemności magazynu
IDENTYFIKATOR: Własność FedRAMP High AU-4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Odpowiedź na błędy przetwarzania inspekcji
ID: FedRAMP High AU-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Alerty w czasie rzeczywistym
Id: FedRAMP High AU-5 (2) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie alertów w czasie rzeczywistym dla błędów zdarzeń inspekcji | CMA_C1114 — udostępnianie alertów w czasie rzeczywistym dla błędów zdarzeń inspekcji | Ręczne, wyłączone | 1.1.0 |
Przegląd inspekcji, analiza i raportowanie
IDENTYFIKATOR: Własność FedRAMP High AU-6: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
Integracja procesów
ID: FedRAMP High AU-6 (1) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
Korelowanie repozytoriów inspekcji
Id: FedRAMP High AU-6 (3) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
Centralny przegląd i analiza
IDENTYFIKATOR: Własność FedRAMP High AU-6 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Możliwości integracji/skanowania i monitorowania
Id: FedRAMP High AU-6 (5) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Integrowanie analizy rekordów inspekcji | CMA_C1120 — integrowanie analizy rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Dozwolone akcje
Identyfikator: Własność FedRAMP High AU-6 (7): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie dozwolonych akcji skojarzonych z informacjami o inspekcji klienta | CMA_C1122 — określ dozwolone akcje skojarzone z informacjami o inspekcji klienta | Ręczne, wyłączone | 1.1.0 |
Korekta poziomu inspekcji
Identyfikator: FedRAMP High AU-6 (10) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dostosowywanie poziomu przeglądu inspekcji, analizy i raportowania | CMA_C1123 — dostosowywanie poziomu przeglądu, analizy i raportowania inspekcji | Ręczne, wyłączone | 1.1.0 |
Redukcja inspekcji i generowanie raportów
IDENTYFIKATOR: Własność FedRAMP High AU-7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Upewnij się, że rekordy inspekcji nie są zmieniane | CMA_C1125 — upewnij się, że rekordy inspekcji nie są zmieniane | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie możliwości przeglądu inspekcji, analizy i raportowania | CMA_C1124 — zapewnianie możliwości inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
Automatyczne przetwarzanie
Id: FedRAMP High AU-7 (1) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie możliwości przetwarzania rekordów inspekcji kontrolowanych przez klienta | CMA_C1126 — umożliwia przetwarzanie rekordów inspekcji kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
Sygnatury czasowe
Identyfikator: Własność FedRAMP High AU-8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Używanie zegarów systemowych dla rekordów inspekcji | CMA_0535 — używanie zegarów systemowych dla rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
Synchronizacja ze źródłem czasu autorytatywnego
Identyfikator: FedRAMP High AU-8 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Używanie zegarów systemowych dla rekordów inspekcji | CMA_0535 — używanie zegarów systemowych dla rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji o inspekcji
Identyfikator: Własność FedRAMP High AU-9: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
Inspekcja kopii zapasowej w oddzielnych systemach fizycznych/ składnikach
Identyfikator: FedRAMP High AU-9 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
Ochrona kryptograficzna
Id: FedRAMP High AU-9 (3) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zachowaj integralność systemu inspekcji | CMA_C1133 — utrzymywanie integralności systemu inspekcji | Ręczne, wyłączone | 1.1.0 |
Dostęp według podzestawu uprzywilejowanych użytkowników
Id: FedRAMP High AU-9 (4) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
Niemożność wyparcia się
Identyfikator: FedRAMP High AU-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | CMA_0271 — ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | Ręczne, wyłączone | 1.1.0 |
Przechowywanie rekordów inspekcji
Identyfikator: FedRAMP High AU-11 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 3.0.0 |
Generowanie inspekcji
Identyfikator: FedRAMP High AU-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Dziennik inspekcji skorelowany przez system/czas
Identyfikator: FedRAMP High AU-12 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Kompilowanie rekordów inspekcji do inspekcji w całym systemie | CMA_C1140 — kompilowanie rekordów inspekcji do inspekcji całego systemu | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Zmiany autoryzowanej osoby
Id: FedRAMP High AU-12 (3) Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie możliwości rozszerzania lub ograniczania inspekcji zasobów wdrożonych przez klienta | CMA_C1141 — umożliwia rozszerzanie lub ograniczanie inspekcji zasobów wdrożonych przez klienta | Ręczne, wyłączone | 1.1.0 |
Ocena zabezpieczeń i autoryzacja
Zasady i procedury dotyczące oceny zabezpieczeń i autoryzacji
Identyfikator: Własność FedRAMP High CA-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
Oceny zabezpieczeń
IDENTYFIKATOR: Własność FedRAMP High CA-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Niezależni asesorzy
Identyfikator: FedRAMP High CA-2 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń | CMA_C1148 — stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Wyspecjalizowane oceny
Identyfikator: FedRAMP High CA-2 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | CMA_C1149 — wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Organizacje zewnętrzne
Identyfikator: FedRAMP High CA-2 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Akceptowanie wyników oceny | CMA_C1150 — akceptowanie wyników oceny | Ręczne, wyłączone | 1.1.0 |
Połączenia systemowe
Identyfikator: Własność FedRAMP High CA-3: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie umów zabezpieczających między połączeniami | CMA_C1151 — wymaganie wzajemnych umów dotyczących zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących zabezpieczeń połączeń między połączeniami | CMA_0519 — aktualizowanie umów dotyczących zabezpieczeń połączeń wzajemnych | Ręczne, wyłączone | 1.1.0 |
Niesklasyfikowane Połączenie systemu bezpieczeństwa narodowego
Identyfikator: FedRAMP High CA-3 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
Ograniczenia dotyczące Połączenie systemu zewnętrznego
Identyfikator: FedRAMP High CA-3 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi | CMA_C1155 — stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
Plan działania i kamieni milowych
Identyfikator: FedRAMP High CA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Autoryzacja zabezpieczeń
Identyfikator: Własność FedRAMP High CA-6: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie urzędnika autoryzowania (AO) | CMA_C1158 — przypisywanie urzędnika autoryzowania (AO) | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że zasoby są autoryzowane | CMA_C1159 — upewnij się, że zasoby są autoryzowane | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie autoryzacji zabezpieczeń | CMA_C1160 — aktualizowanie autoryzacji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Ciągłe monitorowanie
Identyfikator: Własność FedRAMP High CA-7: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Niezależna ocena
Identyfikator: FedRAMP High CA-7 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie niezależnych asesorów do ciągłego monitorowania | CMA_C1168 — stosowanie niezależnych asesorów do ciągłego monitorowania | Ręczne, wyłączone | 1.1.0 |
Analizy trendów
Identyfikator: FedRAMP High CA-7 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Analizowanie danych uzyskanych z ciągłego monitorowania | CMA_C1169 — analizowanie danych uzyskanych z ciągłego monitorowania | Ręczne, wyłączone | 1.1.0 |
Niezależny agent penetracyjnych lub zespół
Identyfikator: FedRAMP High CA-8 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zatrudniaj niezależny zespół do testowania penetracyjnego | CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
Połączenie systemu wewnętrznego
Identyfikator: Własność FedRAMP High CA-9: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
Zarządzanie konfiguracją
Zasady i procedury zarządzania konfiguracją
IDENTYFIKATOR: Własność FedRAMP High CM-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Konfiguracja punktu odniesienia
IDENTYFIKATOR: Własność FedRAMP High CM-2: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie akcji dla niezgodnych urządzeń | CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie tablicy sterowania konfiguracji | CMA_0254 — ustanawianie tablicy sterowania konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Obsługa automatyzacji pod kątem dokładności/waluty
Id: FedRAMP High CM-2 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie akcji dla niezgodnych urządzeń | CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie tablicy sterowania konfiguracji | CMA_0254 — ustanawianie tablicy sterowania konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Przechowywanie poprzednich konfiguracji
Id: FedRAMP High CM-2 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zachowaj poprzednie wersje konfiguracji punktu odniesienia | CMA_C1181 — zachowaj poprzednie wersje konfiguracji punktu odniesienia | Ręczne, wyłączone | 1.1.0 |
Konfigurowanie systemów, składników lub urządzeń dla obszarów wysokiego ryzyka
Id: FedRAMP High CM-2 (7) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają | CMA_C1183 — zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają | Ręczne, wyłączone | 1.1.0 |
| Nie zezwalaj, aby systemy informacyjne towarzyszyły osobom | CMA_C1182 — nie zezwalaj na korzystanie z systemów informacyjnych towarzyszących osobom | Ręczne, wyłączone | 1.1.0 |
Kontrolka zmiany konfiguracji
IDENTYFIKATOR: Własność FedRAMP High CM-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
Automatyczny dokument/powiadomienie/zakaz zmian
Id: FedRAMP High CM-3 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
Testowanie/weryfikowanie/zmienianie dokumentów
Identyfikator: FedRAMP High CM-3 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
Przedstawiciel ds. zabezpieczeń
Identyfikator: Własność FedRAMP High CM-3 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie przedstawiciela ds. zabezpieczeń informacji w celu zmiany kontroli | CMA_C1198 — przypisywanie przedstawiciela ds. zabezpieczeń informacji w celu zmiany kontroli | Ręczne, wyłączone | 1.1.0 |
Zarządzanie kryptografią
Id: FedRAMP High CM-3 (6) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją | CMA_C1199 — upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją | Ręczne, wyłączone | 1.1.0 |
Analiza wpływu na zabezpieczenia
ID: FedRAMP High CM-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
Oddzielne środowiska testowe
Id: FedRAMP High CM-4 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
Ograniczenia dostępu do zmian
ID: FedRAMP High CM-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
Automatyczne wymuszanie dostępu/inspekcja
Identyfikator: FedRAMP High CM-5 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie i przeprowadzanie inspekcji ograniczeń dostępu | CMA_C1203 — wymuszanie i inspekcja ograniczeń dostępu | Ręczne, wyłączone | 1.1.0 |
Przegląd zmian systemowych
Id: FedRAMP High CM-5 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przejrzyj zmiany pod kątem wszelkich nieautoryzowanych zmian | CMA_C1204 — przejrzyj zmiany pod kątem wszelkich nieautoryzowanych zmian | Ręczne, wyłączone | 1.1.0 |
Podpisane składniki
Id: FedRAMP High CM-5 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ograniczanie nieautoryzowanego oprogramowania i instalacji oprogramowania układowego | CMA_C1205 — ograniczanie nieautoryzowanego oprogramowania i instalacji oprogramowania układowego | Ręczne, wyłączone | 1.1.0 |
Ograniczanie uprawnień produkcyjnych/operacyjnych
ID: FedRAMP High CM-5 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym | CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
Ustawienia konfiguracji
Id: FedRAMP High CM-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Zautomatyzowane centralne zarządzanie / aplikacja / weryfikacja
Id: FedRAMP High CM-6 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zgodnością dostawców usług w chmurze | CMA_0290 — zarządzanie zgodnością dostawców usług w chmurze | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
Najmniejsza funkcjonalność
Id: FedRAMP High CM-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
Zapobieganie wykonywaniu programu
Id: FedRAMP High CM-7 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
Autoryzowane oprogramowanie/umieszczanie na liście dozwolonych
Id: FedRAMP High CM-7 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
Spis składników systemu informacyjnego
IDENTYFIKATOR: Własność FedRAMP High CM-8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa rejestrów przetwarzania danych osobowych | CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
Aktualizacje podczas instalacji/usuwania
ID: FedRAMP High CM-8 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa rejestrów przetwarzania danych osobowych | CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
Automatyczne wykrywanie nieautoryzowanych składników
Id: FedRAMP High CM-8 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Włączanie wykrywania urządzeń sieciowych | CMA_0220 — włączanie wykrywania urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Informacje o odpowiedzialności
IDENTYFIKATOR: Własność FedRAMP High CM-8 (4): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
Plan zarządzania konfiguracją
IDENTYFIKATOR: Własność FedRAMP High CM-9: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie ochrony planu konfiguracji | CMA_C1233 — tworzenie ochrony planu konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu identyfikacji elementu konfiguracji | CMA_C1231 — opracowywanie planu identyfikacji elementu konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu zarządzania konfiguracją | CMA_C1232 — opracowywanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
Ograniczenia użycia oprogramowania
Identyfikator: FedRAMP High CM-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Wymaganie zgodności z prawami własności intelektualnej | CMA_0432 — wymaganie zgodności z prawami własności intelektualnej | Ręczne, wyłączone | 1.1.0 |
| Śledzenie użycia licencji na oprogramowanie | CMA_C1235 — śledzenie użycia licencji na oprogramowanie | Ręczne, wyłączone | 1.1.0 |
Oprogramowanie typu open source
Identyfikator: FedRAMP High CM-10 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ograniczanie używania oprogramowania typu open source | CMA_C1237 — ograniczanie używania oprogramowania typu open source | Ręczne, wyłączone | 1.1.0 |
Oprogramowanie zainstalowane przez użytkownika
Id: FedRAMP High CM-11 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
Planowanie awaryjne
Zasady i procedury planowania awaryjnego
Identyfikator: Własność FedRAMP High CP-1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
Plan awaryjny
IDENTYFIKATOR: Własność FedRAMP High CP-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przekazywanie zmian w planie awaryjnym | CMA_C1249 — przekazywanie zmian planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu awaryjnego | CMA_C1244 — opracowywanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur planowania awaryjnego | CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Dystrybuowanie zasad i procedur | CMA_0185 — dystrybuowanie zasad i procedur | Ręczne, wyłączone | 1.1.0 |
| Przegląd planu awaryjnego | CMA_C1247 — przegląd planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu awaryjnego | CMA_C1248 — aktualizowanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
Koordynowanie z powiązanymi planami
Identyfikator: FedRAMP High CP-2 (1) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
Planowanie pojemności
ID: FedRAMP High CP-2 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie planowania pojemności | CMA_C1252 — Przeprowadzanie planowania pojemności | Ręczne, wyłączone | 1.1.0 |
Wznawianie podstawowych misji/funkcji biznesowych
Id: FedRAMP High CP-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Planowanie wznowienia podstawowych funkcji biznesowych | CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
Wznawianie wszystkich misji/funkcji biznesowych
IDENTYFIKATOR: Własność FedRAMP High CP-2 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wznawianie wszystkich funkcji służbowych i biznesowych | CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych | Ręczne, wyłączone | 1.1.0 |
Kontynuuj podstawowe misje /funkcje biznesowe
Identyfikator: FedRAMP High CP-2 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Planowanie ciągłości podstawowych funkcji biznesowych | CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
Identyfikowanie krytycznych zasobów
Id: FedRAMP High CP-2 (8) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie oceny wpływu biznesowego i oceny krytycznej aplikacji | CMA_0386 — przeprowadzanie oceny wpływu biznesowego i oceny krytycznej aplikacji | Ręczne, wyłączone | 1.1.0 |
Trenowanie awaryjne
Identyfikator: FedRAMP High CP-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkolenia awaryjnego | CMA_0412 — zapewnianie szkolenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
Symulowane zdarzenia
Identyfikator: FedRAMP High CP-3 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dołączanie symulowanego trenowania awaryjnego | CMA_C1260 — dołączanie symulowanego szkolenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
Testowanie planu awaryjnego
ID: FedRAMP High CP-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | CMA_C1263 — inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd wyników testowania planu awaryjnego | CMA_C1262 — przegląd wyników testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Testowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0509 — testowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
Koordynowanie z powiązanymi planami
Identyfikator: FedRAMP High CP-4 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
Alternatywna lokacja przetwarzania
IDENTYFIKATOR: FedRAMP High CP-4 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena możliwości alternatywnego przetwarzania lokacji | CMA_C1266 — ocena możliwości alternatywnego przetwarzania lokacji | Ręczne, wyłączone | 1.1.0 |
| Testowy plan awaryjny w alternatywnej lokalizacji przetwarzania | CMA_C1265 — testowy plan awaryjny w lokalizacji alternatywnego przetwarzania | Ręczne, wyłączone | 1.1.0 |
Alternatywna witryna magazynu
ID: FedRAMP High CP-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej | CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
Separacja z lokacji głównej
Identyfikator: FedRAMP High CP-6 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
Czas odzyskiwania /cele punktu
Identyfikator: FedRAMP High CP-6 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie alternatywnej lokacji magazynu, która ułatwia operacje odzyskiwania | CMA_C1270 — ustanawianie alternatywnej lokacji magazynu, która ułatwia operacje odzyskiwania | Ręczne, wyłączone | 1.1.0 |
Ułatwienia dostępu
Identyfikator: FedRAMP High CP-6 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
Alternatywna lokacja przetwarzania
Identyfikator: FedRAMP High CP-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
Separacja z lokacji głównej
Identyfikator: FedRAMP High CP-7 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
Ułatwienia dostępu
IDENTYFIKATOR: FedRAMP High CP-7 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
Priorytet usługi
Identyfikator: FedRAMP High CP-7 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dla dostawców usług internetowych | CMA_0278 — określanie wymagań dla dostawców usług internetowych | Ręczne, wyłączone | 1.1.0 |
Przygotowanie do użycia
Id: FedRAMP High CP-7 (4) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przygotowywanie alternatywnej lokacji przetwarzania do użycia jako lokacja operacyjna | CMA_C1278 — przygotowanie alternatywnej lokacji przetwarzania do użycia jako lokacja operacyjna | Ręczne, wyłączone | 1.1.0 |
Priorytet aprowizowania usług
Identyfikator: FedRAMP High CP-8 (1) Własność: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie wymagań dla dostawców usług internetowych | CMA_0278 — określanie wymagań dla dostawców usług internetowych | Ręczne, wyłączone | 1.1.0 |
Kopia zapasowa systemu informacyjnego
ID: FedRAMP High CP-9 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
Oddzielny magazyn dla informacji krytycznych
Identyfikator: FedRAMP High CP-9 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Oddzielnie przechowuj informacje o kopii zapasowej | CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
Przenoszenie do alternatywnej lokacji magazynu
Identyfikator: FedRAMP High CP-9 (5) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Transferowanie informacji o kopii zapasowej do alternatywnej lokacji magazynu | CMA_C1294 — przenoszenie informacji o kopii zapasowej do alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
Odzyskiwanie i rekonstytucja systemu informacyjnego
Identyfikator: FedRAMP High CP-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Odzyskiwanie i ponowne zastępowanie zasobów po wystąpieniu zakłóceń | CMA_C1295 — odzyskiwanie i ponowne odtworzenie zasobów po wystąpieniu zakłóceń | Ręczne, wyłączone | 1.1.1 |
Odzyskiwanie transakcji
IDENTYFIKATOR: FedRAMP High CP-10 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie odzyskiwania opartego na transakcji | CMA_C1296 — implementowanie odzyskiwania opartego na transakcji | Ręczne, wyłączone | 1.1.0 |
Przywracanie w okresie
Identyfikator: FedRAMP High CP-10 (4) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przywracanie zasobów do stanu operacyjnego | CMA_C1297 — przywracanie zasobów do stanu operacyjnego | Ręczne, wyłączone | 1.1.1 |
Identyfikacja i uwierzytelnianie
Zasady i procedury identyfikacji i uwierzytelniania
Identyfikator: Własność FedRAMP High IA-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
Identyfikacja i uwierzytelnianie (użytkownicy organizacyjni)
Identyfikator: Własność FedRAMP High IA-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
Dostęp sieciowy do uprzywilejowanych kont
Identyfikator: Własność FedRAMP High IA-2 (1): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Dostęp sieciowy do kont nieuprzywilejowanych
IDENTYFIKATOR: Własność FedRAMP High IA-2 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Dostęp lokalny do uprzywilejowanych kont
IDENTYFIKATOR: Własność FedRAMP High IA-2 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie grupy
IDENTYFIKATOR: Własność FedRAMP High IA-2 (5): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie użycia poszczególnych wystawców uwierzytelnienia | CMA_C1305 — wymaganie użycia poszczególnych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Dostęp zdalny — oddzielne urządzenie
IDENTYFIKATOR: Własność FedRAMP High IA-2 (11): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
Akceptacja poświadczeń piv
IDENTYFIKATOR: Własność FedRAMP High IA-2 (12): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
Zarządzanie identyfikatorami
IDENTYFIKATOR: Własność FedRAMP High IA-4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Przypisywanie identyfikatorów systemowych | CMA_0018 — przypisywanie identyfikatorów systemu | Ręczne, wyłączone | 1.1.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Zapobiegaj ponownemu używaniu identyfikatora dla zdefiniowanego okresu | CMA_C1314 — zapobieganie ponownemu używaniu identyfikatora przez zdefiniowany okres | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Identyfikowanie stanu użytkownika
IDENTYFIKATOR: Własność FedRAMP High IA-4 (4): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie stanu poszczególnych użytkowników | CMA_C1316 — identyfikowanie stanu poszczególnych użytkowników | Ręczne, wyłączone | 1.1.0 |
Zarządzanie modułem Authenticator
Identyfikator: Własność FedRAMP High IA-5: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie | CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie wystawcami uwierzytelnień | CMA_C1321 — zarządzanie wystawcami uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
| Odświeżanie wystawców uwierzytelnienia | CMA_0425 — odświeżanie wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie oparte na hasłach
IDENTYFIKATOR: Własność FedRAMP High IA-5 (1): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 2.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 2.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 2.1.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie oparte na infrastrukturze kluczy publicznych
Identyfikator: Własność FedRAMP High IA-5 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dynamiczne wiązanie wystawców uwierzytelnień i tożsamości | CMA_0035 — dynamiczne wiązanie wystawców uwierzytelnień i tożsamości | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie parametrów wyszukiwania wpisów tajnych wystawców uwierzytelnień i weryfikatorów | CMA_0274 — ustanawianie parametrów wyszukiwania wpisów tajnych wystawców uwierzytelnień i weryfikatorów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Mapuj tożsamości uwierzytelnione na osoby | CMA_0372 — mapuj tożsamości uwierzytelnione na osoby | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Rejestracja osób lub zaufanych osób trzecich
Identyfikator: Własność FedRAMP High IA-5 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dystrybuowanie wystawców uwierzytelnień | CMA_0184 — dystrybuowanie wystawców uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
Automatyczna obsługa określania siły hasła
IDENTYFIKATOR: Własność FedRAMP High IA-5 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
Ochrona wystawców uwierzytelnień
Identyfikator: Własność FedRAMP High IA-5 (6): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie, że autoryzowani użytkownicy chronią dostarczonych wystawców uwierzytelnień | CMA_C1339 — upewnij się, że autoryzowani użytkownicy chronią dostarczonych wystawców uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
Brak osadzonych niezaszyfrowanych statycznych wystawców uwierzytelnień
Identyfikator: Własność FedRAMP High IA-5 (7): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie oparte na tokenach sprzętowych
IDENTYFIKATOR: Własność FedRAMP High IA-5 (11): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Spełnianie wymagań dotyczących jakości tokenów | CMA_0487 — spełnianie wymagań dotyczących jakości tokenu | Ręczne, wyłączone | 1.1.0 |
Wygaśnięcie buforowanych wystawców uwierzytelnień
IDENTYFIKATOR: Własność FedRAMP High IA-5 (13): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie wygaśnięcia buforowanych wystawców uwierzytelnienia | CMA_C1343 — wymuszanie wygaśnięcia buforowanych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Opinia wystawcy uwierzytelnienia
Identyfikator: Własność FedRAMP High IA-6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Niejasne informacje zwrotne podczas procesu uwierzytelniania | CMA_C1344 — niejasne informacje zwrotne podczas procesu uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
Uwierzytelnianie modułu kryptograficznego
Identyfikator: Własność FedRAMP High IA-7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uwierzytelnianie w module kryptograficznym | CMA_0021 — uwierzytelnianie w module kryptograficznym | Ręczne, wyłączone | 1.1.0 |
Identyfikacja i uwierzytelnianie (użytkownicy nienależące do organizacji)
Identyfikator: Własność FedRAMP High IA-8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
Akceptacja poświadczeń piv z innych agencji
Id: FedRAMP High IA-8 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Akceptowanie poświadczeń piv | CMA_C1347 — akceptowanie poświadczeń piv | Ręczne, wyłączone | 1.1.0 |
Akceptacja poświadczeń innych firm
Id: FedRAMP High IA-8 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Akceptowanie tylko poświadczeń innych firm zatwierdzonych przez program FICAM | CMA_C1348 — akceptowanie tylko poświadczeń innych firm zatwierdzonych przez program FICAM | Ręczne, wyłączone | 1.1.0 |
Korzystanie z produktów zatwierdzonych przez ficam
Id: FedRAMP High IA-8 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie zasobów zatwierdzonych przez program FICAM w celu akceptowania poświadczeń innych firm | CMA_C1349 — stosowanie zasobów zatwierdzonych przez program FICAM w celu akceptowania poświadczeń innych firm | Ręczne, wyłączone | 1.1.0 |
Korzystanie z profilów wystawionych przez ficam
Identyfikator: Własność FedRAMP High IA-8 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zgodność z profilami wystawionych przez program FICAM | CMA_C1350 — zgodność z profilami wystawionych przez program FICAM | Ręczne, wyłączone | 1.1.0 |
Reagowania na incydenty
Zasady i procedury reagowania na zdarzenia
Identyfikator: Własność FedRAMP High IR-1: współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Szkolenie reagowania na zdarzenia
Identyfikator: Własność FedRAMP High IR-2: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkolenia rozlewu informacji | CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Symulowane zdarzenia
Id: FedRAMP High IR-2 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dołączanie symulowanych zdarzeń do trenowania reagowania na zdarzenia | CMA_C1356 — dołączanie symulowanych zdarzeń do szkolenia reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Środowiska zautomatyzowanego trenowania
Identyfikator: Własność FedRAMP High IR-2 (2): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie zautomatyzowanego środowiska szkoleniowego | CMA_C1357 — stosowanie zautomatyzowanego środowiska szkoleniowego | Ręczne, wyłączone | 1.1.0 |
Testowanie reagowania na zdarzenia
IDENTYFIKATOR: Własność FedRAMP High IR-3: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie testów reagowania na zdarzenia | CMA_0060 — przeprowadzanie testów reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Uruchamianie ataków symulacji | CMA_0486 — uruchamianie ataków symulacji | Ręczne, wyłączone | 1.1.0 |
Koordynacja z powiązanymi planami
Identyfikator: Własność FedRAMP High IR-3 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie testów reagowania na zdarzenia | CMA_0060 — przeprowadzanie testów reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Uruchamianie ataków symulacji | CMA_0486 — uruchamianie ataków symulacji | Ręczne, wyłączone | 1.1.0 |
Obsługa zdarzeń
Identyfikator: Własność FedRAMP High IR-4: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Zautomatyzowane procesy obsługi zdarzeń
Identyfikator: Własność FedRAMP High IR-4 (1): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
Dynamiczna ponowna konfiguracja
IDENTYFIKATOR: Własność FedRAMP High IR-4 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uwzględnij dynamiczną ponowną konfigurację wdrożonych zasobów klienta | CMA_C1364 — uwzględnij dynamiczną ponowną konfigurację wdrożonych zasobów klienta | Ręczne, wyłączone | 1.1.0 |
Ciągłość operacji
IDENTYFIKATOR: Własność FedRAMP High IR-4 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie klas zdarzeń i wykonanych akcji | CMA_C1365 — identyfikowanie klas zdarzeń i akcji podjętych | Ręczne, wyłączone | 1.1.0 |
Korelacja informacji
IDENTYFIKATOR: Własność FedRAMP High IR-4 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
Zagrożenia dla niejawnych — określone możliwości
IDENTYFIKATOR: Własność FedRAMP High IR-4 (6): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie możliwości obsługi zdarzeń | CMA_C1367 — możliwość implementowania obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
Korelacja z organizacjami zewnętrznymi
Identyfikator: Własność FedRAMP High IR-4 (8): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Koordynowanie z organizacjami zewnętrznymi w celu osiągnięcia perspektywy między organizacji | CMA_C1368 — koordynowanie z organizacjami zewnętrznymi w celu osiągnięcia perspektywy między organizacjami | Ręczne, wyłączone | 1.1.0 |
Monitorowanie zdarzeń
Identyfikator: Własność FedRAMP High IR-5: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Automatyczne raportowanie
IDENTYFIKATOR: Własność FedRAMP High IR-6 (1): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
Pomoc dotycząca reagowania na zdarzenia
Identyfikator: Własność FedRAMP High IR-7: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
Obsługa automatyzacji w celu zapewnienia dostępności informacji/ pomocy technicznej
IDENTYFIKATOR: Własność FedRAMP High IR-7 (1): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Koordynacja z dostawcami zewnętrznymi
IDENTYFIKATOR: Własność FedRAMP High IR-7 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie relacji między możliwościami reagowania na zdarzenia a dostawcami zewnętrznymi | CMA_C1376 — ustanawianie relacji między możliwościami reagowania na zdarzenia i dostawcami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie personelu reagowania na zdarzenia | CMA_0301 — identyfikowanie personelu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Plan reagowania na zdarzenia
Id: FedRAMP High IR-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa rekordów naruszeń danych | CMA_0351 — utrzymywanie rekordów naruszeń danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu reagowania na zdarzenia | CMA_0405 — ochrona planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Odpowiedź rozlania informacji
Identyfikator: Własność FedRAMP High IR-9: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie zanieczyszczonych systemów i składników | CMA_0300 — identyfikowanie zanieczyszczonych systemów i składników | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie rozlanych informacji | CMA_0303 — identyfikowanie rozlanych informacji | Ręczne, wyłączone | 1.1.0 |
| Izolowanie wycieków informacji | CMA_0346 — izolowanie wycieków informacji | Ręczne, wyłączone | 1.1.0 |
Personel odpowiedzialny
Identyfikator: Własność FedRAMP High IR-9 (1): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie personelu reagowania na zdarzenia | CMA_0301 — identyfikowanie personelu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Szkolenie
Identyfikator: Własność FedRAMP High IR-9 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkolenia rozlewu informacji | CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji | Ręczne, wyłączone | 1.1.0 |
Operacje po rozlaniu
Identyfikator: Własność FedRAMP High IR-9 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie procedur reagowania na wyciek | CMA_0162 — opracowywanie procedur reagowania na wyciek | Ręczne, wyłączone | 1.1.0 |
Narażenie na nieautoryzowany personel
Identyfikator: Własność FedRAMP High IR-9 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Konserwacja
Zasady i procedury konserwacji systemu
IDENTYFIKATOR: Własność FedRAMP High MA-1: Współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
Kontrolowana konserwacja
IDENTYFIKATOR: Własność FedRAMP High MA-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Działania związane z automatyczną konserwacją
ID: FedRAMP High MA-2 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie działań związanych z konserwacją zdalną | CMA_C1402 — automatyzowanie działań konserwacji zdalnej | Ręczne, wyłączone | 1.1.0 |
| Tworzenie pełnych rekordów działań konserwacji zdalnej | CMA_C1403 — tworzenie pełnych rekordów działań konserwacji zdalnej | Ręczne, wyłączone | 1.1.0 |
Narzędzia konserwacji
IDENTYFIKATOR: Własność FedRAMP High MA-3: współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Narzędzia inspekcji
IDENTYFIKATOR: Własność FedRAMP High MA-3 (1): Współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Inspekcja multimediów
ID: FedRAMP High MA-3 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Zapobieganie nieautoryzowanemu usuwaniu
ID: FedRAMP High MA-3 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Konserwacja nielokalna
IDENTYFIKATOR: Własność FedRAMP High MA-4: Współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Konserwacja nielokalna dokumentu
ID: FedRAMP High MA-4 (2) Własność: współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
Porównywalne zabezpieczenia/oczyszczanie
ID: FedRAMP High MA-4 (3) Własność: Współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wykonywanie całej konserwacji innej niż lokalna | CMA_C1417 — wykonywanie całej konserwacji innej niż lokalna | Ręczne, wyłączone | 1.1.0 |
Ochrona kryptograficzna
IDENTYFIKATOR: Własność FedRAMP High MA-4 (6): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie mechanizmów kryptograficznych | CMA_C1419 — implementowanie mechanizmów kryptograficznych | Ręczne, wyłączone | 1.1.0 |
Personel obsługi technicznej
ID: FedRAMP High MA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych | CMA_C1422 — wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych | Ręczne, wyłączone | 1.1.0 |
| Obsługa listy autoryzowanych pracowników obsługi zdalnej | CMA_C1420 — obsługa listy autoryzowanych pracowników obsługi zdalnej | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie personelem obsługi technicznej | CMA_C1421 — zarządzanie personelem obsługi technicznej | Ręczne, wyłączone | 1.1.0 |
Osoby bez odpowiedniego dostępu
ID: FedRAMP High MA-5 (1) Własność: Współużytkowana
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Czasowa konserwacja
IDENTYFIKATOR: Własność FedRAMP High MA-6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie pomocy technicznej w zakresie terminowej konserwacji | CMA_C1425 — zapewnianie pomocy technicznej w zakresie terminowej konserwacji | Ręczne, wyłączone | 1.1.0 |
Ochrona multimediów
Zasady i procedury ochrony multimediów
Identyfikator: Własność FedRAMP High MP-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
Dostęp do multimediów
ID: FedRAMP High MP-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Znakowanie multimediów
ID: FedRAMP High MP-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Magazyn multimediów
ID: FedRAMP High MP-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Transport multimedialny
Identyfikator: FedRAMP High MP-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Ochrona kryptograficzna
Id: FedRAMP High MP-5 (4) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Oczyszczanie multimediów
ID: FedRAMP High MP-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Przeglądanie/zatwierdzanie/śledzenie/dokument/weryfikowanie
Id: FedRAMP High MP-6 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Testowanie sprzętu
ID: FedRAMP High MP-6 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Korzystanie z multimediów
ID: FedRAMP High MP-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie użycia multimediów | CMA_0450 — ograniczanie użycia multimediów | Ręczne, wyłączone | 1.1.0 |
Zakaz używania bez właściciela
ID: FedRAMP High MP-7 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie użycia multimediów | CMA_0450 — ograniczanie użycia multimediów | Ręczne, wyłączone | 1.1.0 |
Ochrona fizyczna i środowiskowa
Polityka i procedury ochrony środowiska fizycznego i ochrony środowiska
ID: FedRAMP High PE-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
Autoryzacje dostępu fizycznego
IDENTYFIKATOR: Własność FedRAMP High PE-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu fizycznego
ID: FedRAMP High PE-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu do nośnika transmisji
ID: FedRAMP High PE-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu dla urządzeń wyjściowych
ID: FedRAMP High PE-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
Alarmy włamań / Urządzenia nadzoru
ID: FedRAMP High PE-6 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bezpiecznym systemem kamer monitoringu | CMA_0354 — zarządzanie bezpiecznym systemem kamer monitoringu | Ręczne, wyłączone | 1.1.0 |
Rekordy dostępu gościa
ID: FedRAMP High PE-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Oświetlenie awaryjne
ID: FedRAMP High PE-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie automatycznego oświetlenia awaryjnego | CMA_0209 — stosowanie automatycznego oświetlenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
Ochrona przeciwpożarowa
ID: FedRAMP High PE-13 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Urządzenia wykrywania/systemy
IDENTYFIKATOR: FedRAMP High PE-13 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie metodologii testowania penetracyjnego | CMA_0306 — implementowanie metodologii testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Uruchamianie ataków symulacji | CMA_0486 — uruchamianie ataków symulacji | Ręczne, wyłączone | 1.1.0 |
Pomijanie urządzeń/systemów
ID: FedRAMP High PE-13 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Automatyczne tłumienie pożaru
IDENTYFIKATOR: FedRAMP High PE-13 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Kontrolki temperatury i wilgotności
ID: FedRAMP High PE-14 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Monitorowanie za pomocą alarmów/powiadomień
ID: FedRAMP High PE-14 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
Ochrona przed uszkodzeniem wody
IDENTYFIKATOR: FedRAMP High PE-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Dostarczanie i usuwanie
ID: FedRAMP High PE-16 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie wymagań dotyczących zarządzania zasobami | CMA_0125 — definiowanie wymagań dotyczących zarządzania zasobami | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Alternatywna witryna pracy
ID: FedRAMP High PE-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
Lokalizacja składników systemu informacyjnego
ID: FedRAMP High PE-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Planowanie
Zasady i procedury planowania zabezpieczeń
IDENTYFIKATOR: Własność FedRAMP High PL-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
Plan zabezpieczeń systemu
Identyfikator: Własność FedRAMP High PL-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Planowanie/koordynowanie z innymi jednostkami organizacyjnymi
IDENTYFIKATOR: Własność FedRAMP High PL-2 (3): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Reguły zachowania
IDENTYFIKATOR: Własność FedRAMP High PL-4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad postępowania w organizacji | CMA_0159 — opracowywanie kodeksu postępowania organizacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zakaz nieuczciwych praktyk | CMA_0396 — zakaz nieuczciwych praktyk | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i podpisywanie poprawionych reguł zachowania | CMA_0465 — przeglądanie i podpisywanie poprawionych reguł zachowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu | CMA_0521 — aktualizowanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | CMA_0522 — aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | Ręczne, wyłączone | 1.1.0 |
Ograniczenia dotyczące mediów społecznościowych i sieci
IDENTYFIKATOR: Własność FedRAMP High PL-4 (1): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
Architektura zabezpieczeń informacji
IDENTYFIKATOR: Własność FedRAMP High PL-8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie koncepcji operacji (CONOPS) | CMA_0141 — opracowywanie koncepcji operacji (CONOPS) | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie architektury zabezpieczeń informacji | CMA_C1504 — przeglądanie i aktualizowanie architektury zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia personelu
Zasady i procedury dotyczące zabezpieczeń personelu
ID: FedRAMP High PS-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
Oznaczenie ryzyka pozycji
ID: FedRAMP High PS-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie oznaczeń ryzyka | CMA_0016 — przypisywanie oznaczeń ryzyka | Ręczne, wyłączone | 1.1.0 |
Badania przesiewowe personelu
IDENTYFIKATOR: FedRAMP High PS-3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyczyść personel z dostępem do informacji niejawnych | CMA_0054 — wyczyść personel z dostępem do informacji niejawnych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontroli personelu | CMA_0322 — wdrażanie badań przesiewowych personelu | Ręczne, wyłączone | 1.1.0 |
| Ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością | CMA_C1512 — ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością | Ręczne, wyłączone | 1.1.0 |
Informacje ze specjalnymi środkami ochrony
ID: FedRAMP High PS-3 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
Zakończenie pracy personelu
ID: FedRAMP High PS-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | CMA_0058 — Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie po zakończeniu lub przeniesieniu | CMA_0381 — powiadom po zakończeniu lub przeniesieniu | Ręczne, wyłączone | 1.1.0 |
| Ochrona przed kradzieżą danych i zapobieganie odejściu pracowników | CMA_0398 — ochrona przed kradzieżą danych i zapobieganie kradzieży danych od pracowników | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Automatyczne powiadomienie
ID: FedRAMP High PS-4 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie powiadamiania o zakończeniu pracy pracowników | CMA_C1521 — automatyzowanie powiadamiania o zakończeniu pracy pracowników | Ręczne, wyłączone | 1.1.0 |
Transfer personelu
ID: FedRAMP High PS-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inicjowanie akcji przeniesienia lub ponownego przypisania | CMA_0333 — inicjowanie akcji przeniesienia lub ponownego przypisania | Ręczne, wyłączone | 1.1.0 |
| Modyfikowanie autoryzacji dostępu po przeniesieniu personelu | CMA_0374 — modyfikowanie autoryzacji dostępu podczas przenoszenia personelu | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie po zakończeniu lub przeniesieniu | CMA_0381 — powiadom po zakończeniu lub przeniesieniu | Ręczne, wyłączone | 1.1.0 |
| Przeszacuj dostęp po przeniesieniu personelu | CMA_0424 — przeszacuj dostęp po przeniesieniu personelu | Ręczne, wyłączone | 1.1.0 |
Umowy dotyczące dostępu
ID: FedRAMP High PS-6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie umów dotyczących dostępu organizacji | CMA_0192 — dokumentowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie | CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od użytkowników podpisania umowy dotyczącej dostępu | CMA_0440 — wymaganie od użytkowników podpisania umowy dotyczącej dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących dostępu organizacji | CMA_0520 — aktualizowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia personelu innych firm
ID: FedRAMP High PS-7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1531 — dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie zgodności dostawcy innej firmy | CMA_C1533 — monitorowanie zgodności dostawcy innej firmy | Ręczne, wyłączone | 1.1.0 |
| Wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | CMA_C1532 — wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu | CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
Sankcje personelu
ID: FedRAMP High PS-8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie formalnego procesu sankcji | CMA_0317 — wdrażanie formalnego procesu sankcji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie personelu o sankcjach | CMA_0380 — powiadamianie personelu o sankcjach | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka
Zasady i procedury oceny ryzyka
Identyfikator: Własność FedRAMP High RA-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Kategoryzacja zabezpieczeń
Identyfikator: Własność FedRAMP High RA-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kategoryzowanie informacji | CMA_0052 — kategoryzowanie informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie schematów klasyfikacji biznesowej | CMA_0155 — opracowywanie schematów klasyfikacji biznesowej | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona | CMA_C1540 — upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka
IDENTYFIKATOR: Własność FedRAMP High RA-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka i rozpowszechnianie wyników | CMA_C1544 — przeprowadzanie oceny ryzyka i rozpowszechnianie wyników | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka i dokumentowanie wyników | CMA_C1542 — przeprowadzanie oceny ryzyka i dokumentowanie wyników | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Skanowanie luk w zabezpieczeniach
Identyfikator: Własność FedRAMP High RA-5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse | Odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach przez skonfigurowanie cyklicznych skanów oceny luk w zabezpieczeniach SQL w obszarach roboczych usługi Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Aktualizowanie możliwości narzędzia
Id: FedRAMP High RA-5 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Aktualizuj według częstotliwości / przed nowym skanowaniem / po zidentyfikowaniu
Identyfikator: FedRAMP High RA-5 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Szerokość/głębokość pokrycia
Id: FedRAMP High RA-5 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Informacje z możliwością odnajdywania
Identyfikator: Własność FedRAMP High RA-5 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Podejmowanie działań w odpowiedzi na informacje o kliencie | CMA_C1554 — podejmowanie działań w odpowiedzi na informacje o kliencie | Ręczne, wyłączone | 1.1.0 |
Dostęp uprzywilejowany
Identyfikator: Własność FedRAMP High RA-5 (5): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach | CMA_C1555 — implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
Zautomatyzowane analizy trendów
Identyfikator: FedRAMP High RA-5 (6) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Obserwowanie słabych stron zabezpieczeń i zgłaszanie ich | CMA_0384 — obserwowanie i zgłaszanie słabych stron zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie modelowania zagrożeń | CMA_0392 — wykonywanie modelowania zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Przeglądanie historycznych dzienników inspekcji
Identyfikator: FedRAMP High RA-5 (8) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach | CMA_0472 — przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
Korelowanie informacji skanowania
Identyfikator: Własność FedRAMP High RA-5 (10): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Korelowanie informacji o skanowaniu luk w zabezpieczeniach | CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.1 |
Pozyskiwanie systemów i usług
Zasady i procedury pozyskiwania systemów i usług
IDENTYFIKATOR: Własność FedRAMP High SA-1: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
Alokacja zasobów
Id: FedRAMP High SA-2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji | CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
Cykl życia programowania systemu
IDENTYFIKATOR: Własność FedRAMP High SA-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
Proces pozyskiwania
ID: FedRAMP High SA-4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
Właściwości funkcjonalne mechanizmów kontroli zabezpieczeń
ID: FedRAMP High SA-4 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uzyskiwanie właściwości funkcjonalnych mechanizmów kontroli zabezpieczeń | CMA_C1575 — uzyskiwanie właściwości funkcjonalnych mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Informacje o projekcie/implementacji dla mechanizmów kontroli zabezpieczeń
ID: FedRAMP High SA-4 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uzyskiwanie informacji o projekcie i implementacji mechanizmów kontroli zabezpieczeń | CMA_C1576 — uzyskiwanie informacji o projekcie i implementacji mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
Plan ciągłego monitorowania
ID: FedRAMP High SA-4 (8) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uzyskiwanie planu ciągłego monitorowania dla mechanizmów kontroli zabezpieczeń | CMA_C1577 — uzyskiwanie planu ciągłego monitorowania mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Funkcje / porty / protokoły / usługi używane
Id: FedRAMP High SA-4 (9) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymagaj od dewelopera identyfikowania portów, protokołów i usług SDLC | CMA_C1578 — wymagaj od dewelopera identyfikowania portów, protokołów i usług SDLC | Ręczne, wyłączone | 1.1.0 |
Korzystanie z zatwierdzonych produktów Piv
Id: FedRAMP High SA-4 (10) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie technologii zatwierdzonych przez standard FIPS 201 dla piV | CMA_C1579 — stosowanie technologii zatwierdzonej przez standard FIPS 201 dla piV | Ręczne, wyłączone | 1.1.0 |
Dokumentacja systemu informacyjnego
Id: FedRAMP High SA-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentacja rozproszonego systemu informacyjnego | CMA_C1584 — dokumentacja rozproszonego systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akcji zdefiniowanych przez klienta | CMA_C1582 — dokumentowanie akcji zdefiniowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie dokumentacji Administracja | CMA_C1580 — uzyskiwanie dokumentacji Administracja | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika | CMA_C1581 — uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ochrona dokumentacji administratora i użytkownika | CMA_C1583 — ochrona dokumentacji administratora i użytkownika | Ręczne, wyłączone | 1.1.0 |
Zewnętrzne usługi systemu informacyjnego
IDENTYFIKATOR: Własność FedRAMP High SA-9: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Oceny ryzyka / Zatwierdzenia organizacyjne
Identyfikator: FedRAMP High SA-9 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zatwierdzeń na potrzeby przejęć i outsourcingu | CMA_C1590 — uzyskiwanie zatwierdzeń na potrzeby przejęć i outsourcingu | Ręczne, wyłączone | 1.1.0 |
Identyfikacja funkcji / portów / protokołów / usług
ID: FedRAMP High SA-9 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Identyfikowanie zewnętrznych dostawców usług | CMA_C1591 — identyfikowanie zewnętrznych dostawców usług | Ręczne, wyłączone | 1.1.0 |
Spójne interesy konsumentów i dostawców
Id: FedRAMP High SA-9 (4) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie, że zewnętrzni dostawcy spójnie spełniają interesy klientów | CMA_C1592 — zapewnienie, że zewnętrzni dostawcy konsekwentnie spełniają interesy klientów | Ręczne, wyłączone | 1.1.0 |
Przetwarzanie, magazynowanie i lokalizacja usługi
ID: FedRAMP High SA-9 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ograniczanie lokalizacji przetwarzania informacji, magazynowania i usług | CMA_C1593 — ograniczanie lokalizacji przetwarzania informacji, magazynowania i usług | Ręczne, wyłączone | 1.1.0 |
Zarządzanie konfiguracją dla deweloperów
Id: FedRAMP High SA-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązywanie problemów z kodowaniem | CMA_0003 — rozwiązywanie problemów z kodowaniem | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie bezpiecznego programu programistycznego | CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
Weryfikacja integralności oprogramowania/oprogramowania układowego
IDENTYFIKATOR: FedRAMP High SA-10 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
Testowanie i ocena zabezpieczeń dla deweloperów
IDENTYFIKATOR: Własność FedRAMP High SA-11: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | CMA_C1602 — wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Ochrona łańcucha dostaw
ID: FedRAMP High SA-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
Proces programowania, standardy i narzędzia
Id: FedRAMP High SA-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przegląd procesu programowania, standardów i narzędzi | CMA_C1610 — przegląd procesu programowania, standardów i narzędzi | Ręczne, wyłączone | 1.1.0 |
Szkolenie dostarczone przez deweloperów
Id: FedRAMP High SA-16 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie od deweloperów szkolenia | CMA_C1611 — wymagaj od deweloperów szkolenia | Ręczne, wyłączone | 1.1.0 |
Architektura i projektowanie zabezpieczeń dla deweloperów
ID: FedRAMP High SA-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie od deweloperów tworzenia architektury zabezpieczeń | CMA_C1612 — wymaganie od deweloperów tworzenia architektury zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | CMA_C1613 — wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | CMA_C1614 — wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Ochrona systemu i komunikacji
Zasady i procedury ochrony systemu i komunikacji
Id: FedRAMP High SC-1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
Partycjonowanie aplikacji
IDENTYFIKATOR: Własność FedRAMP High SC-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Oddzielne funkcje zarządzania użytkownikami i systemem informacyjnym | CMA_0493 — oddzielne funkcje zarządzania użytkownikami i systemem informacji | Ręczne, wyłączone | 1.1.0 |
| Używanie dedykowanych maszyn do zadań administracyjnych | CMA_0527 — używanie dedykowanych maszyn do zadań administracyjnych | Ręczne, wyłączone | 1.1.0 |
Izolacja funkcji zabezpieczeń
Identyfikator: Własność FedRAMP High SC-3: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Odmowa ochrony usługi
Identyfikator: FedRAMP High SC-5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Opracowywanie i dokumentowanie planu odpowiedzi DDoS | CMA_0147 — opracowywanie i dokumentowanie planu odpowiedzi DDoS | Ręczne, wyłączone | 1.1.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Dostępność zasobów
Identyfikator: Własność FedRAMP High SC-6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie dostępnością i pojemnością | CMA_0356 — zarządzanie dostępnością i pojemnością | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
Ochrona granic
IDENTYFIKATOR: Własność FedRAMP High SC-7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 3.2.1 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont usług Cognitive Services, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://go.microsoft.com/fwlink/?linkid=2129800. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 3.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Punkty dostępu
Id: FedRAMP High SC-7 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.0-preview |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Key Vault powinna mieć włączoną zaporę | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security | Inspekcja, Odmowa, Wyłączone | 3.2.1 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Obszary robocze usługi Azure Machine Edukacja powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na obszary robocze usługi Azure Machine Edukacja zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Inspekcja, wyłączone | 1.0.1 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Konta usług Cognitive Services powinny wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont usług Cognitive Services, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie https://go.microsoft.com/fwlink/?linkid=2129800. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Inspekcja, Odmowa, Wyłączone | 3.0.1 |
| Usługi Cognitive Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. | Inspekcja, wyłączone | 3.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. | Inspekcja, wyłączone | 1.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Zewnętrzne usługi telekomunikacyjne
Identyfikator: Własność FedRAMP High SC-7 (4): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych
Id: FedRAMP High SC-7 (7) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Ręczne, wyłączone | 1.1.0 |
Kierowanie ruchu do uwierzytelnionych serwerów proxy
Identyfikator: FedRAMP High SC-7 (8) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kierowanie ruchu za pośrednictwem uwierzytelnionej sieci serwera proxy | CMA_C1633 — kierowanie ruchu za pośrednictwem uwierzytelnionej sieci serwera proxy | Ręczne, wyłączone | 1.1.0 |
Ochrona oparta na hoście
Id: FedRAMP High SC-7 (12) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
Izolacja narzędzi zabezpieczeń / mechanizmów / składników pomocy technicznej
IDENTYFIKATOR: Własność FedRAMP High SC-7 (13): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń | CMA_C1636 — izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie niepowodzeniem
Id: FedRAMP High SC-7 (18) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transferami między składnikami rezerwowymi i aktywnymi systemowymi | CMA_0371 — zarządzanie transferami między składnikami rezerwowymi i aktywnymi systemowymi | Ręczne, wyłączone | 1.1.0 |
Izolacja dynamiczna/segregacja
Identyfikator: FedRAMP High SC-7 (20) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie możliwości dynamicznej izolacji zasobów przez system | CMA_C1638 — zapewnianie możliwości dynamicznej izolacji zasobów przez system | Ręczne, wyłączone | 1.1.0 |
Izolacja składników systemu informacyjnego
Id: FedRAMP High SC-7 (21) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie ochrony granic w celu izolowania systemów informacyjnych | CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Poufność i integralność transmisji
IDENTYFIKATOR: Własność FedRAMP High SC-8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Kryptograficzna lub alternatywna ochrona fizyczna
Identyfikator: FedRAMP High SC-8 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Rozłączanie sieci
Identyfikator: FedRAMP High SC-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ponowne uwierzytelnianie lub kończenie sesji użytkownika | CMA_0421 — ponowne uwierzytelnianie lub kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
Kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi
Identyfikator: Własność FedRAMP High SC-12: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem przechowywanym w danych kopii zapasowej. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/AB-CmkEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: dane usługi IoT Hub device provisioning powinny być szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi aprowizacji urządzeń usługi IoT Hub. Dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/dps/CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Interfejs API platformy Azure dla standardu FHIR powinien używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze Azure API for FHIR, gdy jest to wymaganie dotyczące przepisów lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | inspekcja, inspekcja, wyłączona, wyłączona | 1.1.0 |
| Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/automation-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konto usługi Azure Batch powinno używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych danych konta usługi Batch. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/Batch-CMK. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny używać klucza zarządzanego przez klienta do szyfrowania hasła odblokowywania urządzenia | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie hasła odblokowywania urządzenia dla urządzenia Azure Data Box. Klucze zarządzane przez klienta ułatwiają również zarządzanie dostępem do hasła odblokowywania urządzenia przez usługę Data Box, aby przygotować urządzenie i skopiować dane w zautomatyzowany sposób. Dane na samym urządzeniu są już szyfrowane w spoczynku przy użyciu szyfrowania Advanced Encryption Standard 256-bitowego, a hasło odblokowywania urządzenia jest domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie magazynowane w usłudze Azure Data Explorer powinno używać klucza zarządzanego przez klienta | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w klastrze usługi Azure Data Explorer zapewnia dodatkową kontrolę nad kluczem używanym przez szyfrowanie magazynowane. Ta funkcja jest często stosowana do klientów z specjalnymi wymaganiami dotyczącymi zgodności i wymaga usługi Key Vault do zarządzania kluczami. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Fabryki danych platformy Azure powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Data Factory. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/adf-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure HDInsight powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych klastrów usługi Azure HDInsight. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/hdi.cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania na hoście do szyfrowania danych magazynowanych | Włączenie szyfrowania na hoście pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Edukacja przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.3 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zadania usługi Azure Stream Analytics powinny używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby bezpiecznie przechowywać wszelkie metadane i prywatne zasoby danych zadań usługi Stream Analytics na koncie magazynu. Zapewnia to całkowitą kontrolę nad sposobem szyfrowania danych usługi Stream Analytics. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Usługa Bot Service powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta | Usługa Azure Bot Service automatycznie szyfruje zasób w celu ochrony danych i spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Domyślnie używane są klucze szyfrowania zarządzane przez firmę Microsoft. Aby uzyskać większą elastyczność zarządzania kluczami lub kontrolowania dostępu do subskrypcji, wybierz klucze zarządzane przez klienta, znane również jako bring your own key (BYOK). Dowiedz się więcej o szyfrowaniu usługi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta | Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przechowywanych w usługach Cognitive Services za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o kluczach zarządzanych przez klienta na stronie https://go.microsoft.com/fwlink/?linkid=2121321. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. | Inspekcja, wyłączone | 1.0.0 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
| Środowisko usługi integracji usługi Logic Apps powinno być szyfrowane przy użyciu kluczy zarządzanych przez klienta | Wdróż w środowisku usługi integracji, aby zarządzać szyfrowaniem w spoczynku danych usługi Logic Apps przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
| Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. | Inspekcja, wyłączone | 1.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
Dostępność
Identyfikator: FedRAMP High SC-12 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Utrzymywanie dostępności informacji | CMA_C1644 — utrzymywanie dostępności informacji | Ręczne, wyłączone | 1.1.0 |
Klucze symetryczne
Identyfikator: FedRAMP High SC-12 (2) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych | CMA_C1645 — tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
Klucze asymetryczne
Identyfikator: FedRAMP High SC-12 (3) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
Ochrona kryptograficzna
Identyfikator: FedRAMP High SC-13 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Urządzenia do współpracy obliczeniowej
Identyfikator: FedRAMP High SC-15 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej | CMA_C1649 — jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej | Ręczne, wyłączone | 1.1.1 |
| Uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej | CMA_C1648 — uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej | Ręczne, wyłączone | 1.1.0 |
Certyfikaty infrastruktury kluczy publicznych
Identyfikator: FedRAMP High SC-17 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
Kod dla urządzeń przenośnych
Identyfikator: FedRAMP High SC-18 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie, monitorowanie i kontrolowanie użycia technologii kodu mobilnego | CMA_C1653 — autoryzowanie, monitorowanie i kontrolowanie użycia technologii kodu mobilnego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie akceptowalnych i niedopuszczalnych technologii kodu mobilnego | CMA_C1651 — definiowanie akceptowalnych i niedopuszczalnych technologii kodu mobilnego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie ograniczeń użycia dla technologii kodu mobilnego | CMA_C1652 — ustanawianie ograniczeń użycia dla technologii kodu mobilnego | Ręczne, wyłączone | 1.1.0 |
Protokół głosowy za pośrednictwem internetu
Identyfikator: FedRAMP High SC-19 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie, monitorowanie i kontrolowanie voip | CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie ograniczeń użycia voip | CMA_0280 — ustanawianie ograniczeń użycia voip | Ręczne, wyłączone | 1.1.0 |
Bezpieczna nazwa/usługa rozpoznawania adresów (autorytatywne źródło)
Identyfikator: Własność FedRAMP High SC-20: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
Bezpieczna nazwa/usługa rozpoznawania adresów (rekursywna lub Buforowanie rozpoznawania adresów)
Id: FedRAMP High SC-21 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
Architektura i aprowizowanie dla usługi rozpoznawania nazw/adresów
Id: FedRAMP High SC-22 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
Autentyczność sesji
IDENTYFIKATOR: Własność FedRAMP High SC-23: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie losowych unikatowych identyfikatorów sesji | CMA_0247 — wymuszanie losowych unikatowych identyfikatorów sesji | Ręczne, wyłączone | 1.1.0 |
Unieważnianie identyfikatorów sesji podczas wylogowywanie
Identyfikator: FedRAMP High SC-23 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Unieważnianie identyfikatorów sesji podczas wylogowywanie | CMA_C1661 — unieważnianie identyfikatorów sesji podczas wylogowywanie | Ręczne, wyłączone | 1.1.0 |
Niepowodzenie w znanym stanie
ID: FedRAMP High SC-24 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji magazynowanych
Identyfikator: FedRAMP High SC-28 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Ochrona kryptograficzna
Identyfikator: FedRAMP High SC-28 (1) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Izolacja procesu
IDENTYFIKATOR: Własność FedRAMP High SC-39: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Obsługa oddzielnych domen wykonywania dla uruchomionych procesów | CMA_C1665 — obsługa oddzielnych domen wykonywania dla uruchomionych procesów | Ręczne, wyłączone | 1.1.0 |
Integralność systemu i informacji
Zasady i procedury dotyczące integralności informacji i systemu
Identyfikator: Własność FedRAMP High SI-1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
Korygowanie błędów
Identyfikator: Własność FedRAMP High SI-2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Uwzględnianie korygowania błędów w zarządzaniu konfiguracją | CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
Stan zautomatyzowanego korygowania błędów
Identyfikator: FedRAMP High SI-2 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie korygowania błędów | CMA_0027 — automatyzowanie korygowania błędów | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Czas korygowania wad/testów porównawczych dla akcji naprawczych
Id: FedRAMP High SI-2 (3) Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie testów porównawczych na potrzeby korygowania błędów | CMA_C1675 — ustanawianie testów porównawczych na potrzeby korygowania błędów | Ręczne, wyłączone | 1.1.0 |
| Mierzenie czasu między identyfikacją wad i korygowaniem błędów | CMA_C1674 — mierzenie czasu między identyfikacją wad i korygowaniem błędów | Ręczne, wyłączone | 1.1.0 |
Złośliwa ochrona kodu
Identyfikator: Własność FedRAMP High SI-3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Centralne zarządzanie
Id: FedRAMP High SI-3 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Aktualizacje automatyczne
Identyfikator: FedRAMP High SI-3 (2) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Wykrywanie nieprzypisane
Identyfikator: Własność FedRAMP High SI-3 (7): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Monitorowanie systemu informacyjnego
Identyfikator: Własność FedRAMP High SI-4: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2—wersja zapoznawcza |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Uzyskiwanie opinii prawnej na temat monitorowania działań systemu | CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Podaj informacje dotyczące monitorowania zgodnie z potrzebami | CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Zautomatyzowane narzędzia do analizy w czasie rzeczywistym
IDENTYFIKATOR: Własność FedRAMP High SI-4 (2): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
Ruch przychodzący i wychodzący komunikacji
Identyfikator: Własność FedRAMP High SI-4 (4): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie, monitorowanie i kontrolowanie voip | CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
Alerty generowane przez system
Identyfikator: Własność FedRAMP High SI-4 (5): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
Wykrywanie nieautoryzowanego dostępu bezprzewodowego
IDENTYFIKATOR: Własność FedRAMP High SI-4 (14): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie kontroli zabezpieczeń dostępu bezprzewodowego | CMA_C1695 — kontrola zabezpieczeń dostępu bezprzewodowego dokumentu | Ręczne, wyłączone | 1.1.0 |
Nieautoryzowane usługi sieciowe
IDENTYFIKATOR: Własność FedRAMP High SI-4 (22) : Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
Wskaźniki naruszenia zabezpieczeń
Identyfikator: Własność FedRAMP High SI-4 (24): Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | CMA_C1702 — odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Alerty zabezpieczeń, biuletyny i dyrektywy
IDENTYFIKATOR: Własność FedRAMP High SI-5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozpowszechnianie alertów zabezpieczeń dla personelu | CMA_C1705 — rozpowszechnianie alertów zabezpieczeń dla personelu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu analizy zagrożeń | CMA_0260 — ustanawianie programu analizy zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Generowanie wewnętrznych alertów zabezpieczeń | CMA_C1704 — generowanie wewnętrznych alertów zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie dyrektyw zabezpieczeń | CMA_C1706 — implementowanie dyrektyw zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zautomatyzowane alerty i biuletyny
Identyfikator: FedRAMP High SI-5 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Używanie mechanizmów automatycznych dla alertów zabezpieczeń | CMA_C1707 — używanie mechanizmów automatycznych dla alertów zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Weryfikacja funkcji zabezpieczeń
Identyfikator: Własność FedRAMP High SI-6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie alternatywnych akcji dla zidentyfikowanych anomalii | CMA_C1711 — tworzenie alternatywnych akcji dla zidentyfikowanych anomalii | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń | CMA_C1710 — powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie weryfikacji funkcji zabezpieczeń z zdefiniowaną częstotliwością | CMA_C1709 — przeprowadzanie weryfikacji funkcji zabezpieczeń z określoną częstotliwością | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie funkcji zabezpieczeń | CMA_C1708 — weryfikowanie funkcji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Oprogramowanie, oprogramowanie układowe i integralność informacji
IDENTYFIKATOR: Własność FedRAMP High SI-7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
Sprawdzanie integralności
Id: FedRAMP High SI-7 (1) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
Automatyczne reagowanie na naruszenia integralności
Id: FedRAMP High SI-7 (5) Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie automatycznego zamykania/ponownego uruchamiania po wykryciu naruszeń | CMA_C1715 — stosowanie automatycznego zamykania/ponownego uruchamiania po wykryciu naruszeń | Ręczne, wyłączone | 1.1.0 |
Kod wykonywalny pliku binarnego lub maszynowego
IDENTYFIKATOR: Własność FedRAMP High SI-7 (14): Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uniemożliwianie kodu binarnego/wykonywalnego maszyny | CMA_C1717 — uniemożliwianie kodu binarnego/wykonywalnego komputera | Ręczne, wyłączone | 1.1.0 |
Walidacja danych wejściowych informacji
Identyfikator: FedRAMP High SI-10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie weryfikacji danych wejściowych informacji | CMA_C1723 — przeprowadzanie weryfikacji danych wejściowych informacji | Ręczne, wyłączone | 1.1.0 |
Obsługa błędów
Identyfikator: Własność FedRAMP High SI-11: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Generowanie komunikatów o błędach | CMA_C1724 — generowanie komunikatów o błędach | Ręczne, wyłączone | 1.1.0 |
| Ujawnianie komunikatów o błędach | CMA_C1725 — wyświetlanie komunikatów o błędach | Ręczne, wyłączone | 1.1.0 |
Obsługa i przechowywanie informacji
Id: FedRAMP High SI-12 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Ochrona pamięci
Identyfikator: Własność FedRAMP High SI-16: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.