Szczegóły wbudowanej inicjatywy IRS 1075 września 2016 r.
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w usługach IRS 1075 września 2016 r. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz IRS 1075 wrzesień 2016. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.
Poniższe mapowania dotyczą kontrolek IRS 1075 września 2016 r. Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy z IRS1075 września 2016 r. zgodność z przepisami.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Kontrola dostępu
Dostęp zdalny (AC-17)
Identyfikator: IRS 1075 9.3.1.12
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
Zarządzanie kontami (AC-2)
Identyfikator: IRS 1075 9.3.1.2
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
Wymuszanie przepływu informacji (AC-4)
Identyfikator: IRS 1075 9.3.1.4
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
Rozdzielenie obowiązków (AC-5)
Identyfikator: IRS 1075 9.3.1.5
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa administratorów nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera co najmniej jednego członka wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Najmniej uprzywilejowane (AC-6)
Identyfikator: IRS 1075 9.3.1.6
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa administratorów nie zawiera co najmniej jednego elementu członkowskiego wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli lokalna grupa Administratorzy zawiera co najmniej jednego członka wymienionego w parametrze zasad. | auditIfNotExists | 2.0.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Ocena ryzyka
Skanowanie luk w zabezpieczeniach (RA-5)
Identyfikator: IRS 1075 9.3.14.3
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
Ochrona systemu i komunikacji
Ochrona informacji magazynowanych (SC-28)
Identyfikator: IRS 1075 9.3.16.15
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
Odmowa ochrony usługi (SC-5)
Identyfikator: IRS 1075 9.3.16.4
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
Ochrona granic (SC-7)
Identyfikator: IRS 1075 9.3.16.5
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
Poufność i integralność transmisji (SC-8)
Identyfikator: IRS 1075 9.3.16.6
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Integralność systemu i informacji
Korygowanie wad (SI-2)
Identyfikator: IRS 1075 9.3.17.2
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
Monitorowanie systemu informacyjnego (SI-4)
Identyfikator: IRS 1075 9.3.17.4
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
Świadomość i szkolenie
Generowanie inspekcji (AU-12)
Identyfikator: IRS 1075 9.3.3.11
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
Zawartość rekordów inspekcji (AU-3)
Identyfikator: IRS 1075 9.3.3.3
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
Odpowiedź na błędy przetwarzania inspekcji (AU-5)
Identyfikator: IRS 1075 9.3.3.5
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Przegląd inspekcji, analiza i raportowanie (AU-6)
Identyfikator: IRS 1075 9.3.3.6
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | Zgłasza maszyny wirtualne jako niezgodne, jeśli nie są rejestrowane w obszarze roboczym usługi Log Analytics określonym w przypisaniu zasad/inicjatywy. | AuditIfNotExists, Disabled | 1.1.0 |
Planowanie awaryjne
Alternatywna lokacja przetwarzania (CP-7)
Identyfikator: IRS 1075 9.3.6.6
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Identyfikacja i uwierzytelnianie
Identyfikacja i uwierzytelnianie (użytkownicy organizacji) (IA-2)
Identyfikator: IRS 1075 9.3.7.2
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Authenticator Management (IA-5)
Identyfikator: IRS 1075 9.3.7.5
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 4.1.0 |
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 3.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 2.1.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 2.0.0 |
Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 2.1.0 |
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 2.0.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.