Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.
Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.3.0 . Wiele kontroli jest implementowanych przy użyciu definicji inicjatywy Azure Policy. Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.3.0 Zgodność z przepisami.
Ważne
Każda z poniższych kontrolek jest skojarzona z co najmniej jedną definicją Azure Policy. Te zasady mogą pomóc ocenić zgodność z kontrolą; jednak często nie ma jednoznacznego ani pełnego dopasowania między kontrolą a jedną lub kilkoma zasadami. W związku z tym Zgodność w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontroli. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
1 Zarządzanie tożsamościami i dostępem
Upewnij się, że użytkownicy-goście są przeglądani co miesiąc
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Własność: Współdzielone
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
2 Centrum Bezpieczeństwa
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 2.1 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana z adresem e-mail do kontaktu w sprawach bezpieczeństwa.
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 2.13 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 2.14 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów bazy danych Azure SQL Database
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Własność: Współdzielone
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów bazy danych Azure SQL powinna być włączona | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla usługi Storage
ID: CIS Microsoft Azure Foundations Benchmark zalecenie 2.5 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AudytJeśliNieIstnieje, Wyłączony | 1.0.4 |
Zapewnij, że Azure Defender jest włączony dla Kubernetes
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 2.6 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia wzmocnienie zabezpieczeń, ocenę luk w zabezpieczeniach i ochronę podczas działania dla środowisk Azure, hybrydowych i wielochmurowych środowisk Kubernetes. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla rejestrów kontenerów
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia wzmocnienie zabezpieczeń, ocenę luk w zabezpieczeniach i ochronę podczas działania dla środowisk Azure, hybrydowych i wielochmurowych środowisk Kubernetes. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
3 konta magazynu
Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 3.1 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Bezpieczny transfer do kont magazynu powinien być włączony | Sprawdź wymaganie dotyczące bezpiecznego transferu na koncie magazynowym. Bezpieczne przesyłanie danych to opcja, która wymusza na koncie przechowywania akceptowanie żądań tylko przez bezpieczne połączenia (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Upewnij się, że domyślna reguła dostępu do sieci dla kont Storage jest ustawiona na odmowę dostępu
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 3.6 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont pamięci masowej powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta przechowywania powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta przechowywania przed potencjalnymi zagrożeniami, korzystając z reguł sieci wirtualnej jako preferowanej metody ochrony zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego wyłącznie na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynowych. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona na potrzeby dostępu do konta magazynu
ID: rekomendacja CIS Microsoft Azure Foundations Benchmark 3.7 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Konta magazynowe powinny zezwalać na dostęp do zaufanych usług firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynowania, działają w sieciach, do których nie można przyznać dostępu za pomocą reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynowego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu klucza zarządzanego przez klienta
ID: Rekomendacja 3.9 dla bazy CIS Microsoft Azure Foundations Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Konta pamięci masowej powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpiecz swoje konto do przechowywania obiektów blob i plików z większą elastycznością, korzystając z kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrującego lub kryptograficznego usuwania danych. | Inspekcja, wyłączone | 1.0.3 |
4 Usługi baz danych
Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 4.1.1 Ownership: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database
ID: CIS Microsoft Azure Foundations Benchmark zalecenie 4.1.2 Własność: Wspólne
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
Upewnij się, że okres przechowywania dla "Audyt" jest "dłuższy niż 90 dni"
ID: Zasady CIS Microsoft Azure Foundations Benchmark zalecenie 4.1.3 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Serwery SQL z audytem do docelowego konta magazynowego powinny być skonfigurowane na co najmniej 90-dniowe przechowywanie danych | W celach badania incydentów zalecamy ustawienie przechowywania danych audytu SQL Server na miejscu docelowym konta magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że opcja Advanced Threat Protection (ATP) na serwerze SQL jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Własność: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 4.2.2 Współodpowiedzialność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź przegląd każdej zarządzanej instancji SQL, która nie ma włączonych cyklicznych skanów oceny podatności. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 4.3.1 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
Upewnij się, że opcja "Wymuszaj połączenie SSL" jest ustawiona na wartość "ENABLED" dla serwera bazy danych MySQL
Identyfikator: Zalecenie CIS Microsoft Azure Foundations Benchmark 4.3.2 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: rekomendacja ustanowienia punktu odniesienia CIS Microsoft Azure Foundations 4.3.3 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Własność: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: Rekomendacja benchmarku CIS Microsoft Azure Foundations 4.3.5 Własność: Współdzielony
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. | Ta zasada ułatwia inspekcję dowolnych baz danych PostgreSQL w twoim środowisku, gdy log_disconnections nie jest włączone. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 4.3.6 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie liczby połączeń dla danego adresu IP przy zbyt wielu nieudanych próbach logowania z powodu nieprawidłowych haseł. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że skonfigurowano administratora usługi Azure Active Directory
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 4.4 Własność: Współdzielone
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu klucza zarządzanego przez klienta
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Zarządzane instancje SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych w spoczynku | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
5 Rejestrowanie i monitorowanie
Upewnij się, że konto magazynowe, które zawiera kontener z dziennikami aktywności, jest szyfrowane z użyciem BYOK (Użyj własnego klucza)
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Własność: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Konto przechowywania zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą BYOK | Ta polityka sprawdza, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności z założenia. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone
ID: Rekomendacja benchmarku CIS Microsoft Azure Foundations 5.1.5 Własność: Współdzielone
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności w celach śledczych, gdy dojdzie do incydentu bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 5.2.1 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Powinien istnieć alert dziennika aktywności dla określonych operacji polityki | Ta polityka kontroluje określone operacje polityki bez skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla usunięcia przypisania polityki
ID: CIS Microsoft Azure Foundations Benchmark zalecenie 5.2.2 Właścicielstwo: Wspólne
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Powinien istnieć alert dziennika aktywności dla określonych operacji polityki | Ta polityka kontroluje określone operacje polityki bez skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania Grupy Zabezpieczeń Sieciowych
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 5.2.3 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Ta polityka audytuje określone operacje administracyjne, które nie mają skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla usunięcia sieciowej grupy zabezpieczeń
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 5.2.4 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Ta polityka audytuje określone operacje administracyjne, które nie mają skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizacji reguły grupy zabezpieczeń sieciowych.
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 5.2.5 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Ta polityka audytuje określone operacje administracyjne, które nie mają skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności
ID: CIS Microsoft Azure Foundations Benchmark zalecenie 5.2.6 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Ta polityka audytuje określone operacje administracyjne, które nie mają skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizacji rozwiązania zabezpieczeń.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Własność: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Ta polityka przeprowadza audyty konkretnych operacji zabezpieczeń bez skonfigurowanych alertów rejestrowania aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania
ID: Zalecenie dla CIS Microsoft Azure Foundations Benchmark 5.2.8 Właścicielstwo: Wspólne
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Ta polityka przeprowadza audyty konkretnych operacji zabezpieczeń bez skonfigurowanych alertów rejestrowania aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia, aktualizowania lub usuwania reguły zapory programu SQL Server.
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 5.2.9 Własność: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Ta polityka audytuje określone operacje administracyjne, które nie mają skonfigurowanych alertów dziennika aktywności. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że dzienniki diagnostyczne są włączone dla wszystkich usług, które je obsługują.
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 5.3 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Audyt włączenia dzienników zasobów na aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w kontach Batch powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w Event Hub powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności w celach śledczych, gdy dojdzie do incydentu bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.1.0 |
| Dzienniki zasobów w usługach wyszukiwania powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Audyt aktywacji dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do celów śledczych, w przypadku wystąpienia zdarzenia dotyczącego bezpieczeństwa lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
6 Sieci
Upewnij się, że usługa Network Watcher jest włączona
ID: Rekomendacja Benchmarku CIS Microsoft Azure Foundations 6.5 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariuszy sieciowych w, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów w widoku obejmującym całą sieć od początku do końca. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
7 Maszyny wirtualne
Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane
ID: CIS Microsoft Azure Foundations Benchmark zalecenie 7.1 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia
ID: CIS Microsoft Azure Foundations Benchmark rekomendacja 7.4 Właścicielstwo: Współdzielone
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
8 Inne zagadnienia dotyczące zabezpieczeń
Upewnij się, że magazyn kluczy można odzyskać
IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Magazyny kluczy powinny mieć włączoną ochronę przed usuwaniem | Złośliwe skasowanie sejfu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed usuwaniem i miękkie usuwanie. Ochrona przed czyszczeniem zabezpiecza przed atakami wewnętrznymi poprzez narzucenie obowiązkowego okresu przechowywania dla miękko usuniętych skarbców kluczy. Nikt w twojej organizacji ani w firmie Microsoft nie będzie mógł opróżnić magazynów kluczy w okresie przechowywania po miękkim usunięciu. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone przywracalne usuwanie. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 8.5 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.1.0 |
9 Usługa AppService
Upewnij się, że uwierzytelnianie App Service jest ustawione w Azure App Service
ID: Zalecenie w ramach CIS Microsoft Azure Foundations Benchmark 9.1 Własność: Wspólna
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | Uwierzytelnianie usługi Azure App Service to funkcja, która może zapobiegać dotarciu anonimowych żądań HTTP do aplikacji internetowej lub uwierzytelniać te posiadające tokeny, zanim dotrą do aplikacji. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | Uwierzytelnianie usług Azure App Service to funkcja, która może uniemożliwić anonimowym żądaniom HTTP dotarcie do Aplikacji Funkcji lub uwierzytelnić te z tokenami, zanim dotrą do Aplikacji Funkcji. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że wdrożenia FTP są wyłączone
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark nr 9.10 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 9.2 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt, Wyłączony, Odmowa dostępu | 4.0.0 |
Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 9.3 Właściciel: Wspólny
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 9.4 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service
ID: Zalecenie CIS Microsoft Azure Foundations Benchmark 9.5 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej
ID: Rekomendacja CIS Microsoft Azure Foundations Benchmark 9.9 Własność: Współdzielona
| Nazwa (Azure Portal) |
Opis | Efekt(y) | wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 4.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 4.0.0 |
Dalsze kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj Zrozumienie skutków polityki.
- Dowiedz się, jak korygować niezgodne zasoby.