Szczegóły wbudowanej inicjatywy dotyczącej zgodności z przepisami RMIT Malaysia
Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w usłudze RMIT Malaysia. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RMIT Malaysia. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.
Poniższe mapowania dotyczą kontrolek RMIT Malaysia . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy RMIT Malaysia Regulatory Compliance.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Kryptografia
Kryptografia — 10.16
Identyfikator: Własność RMiT 10.16: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzany moduł HSM usługi Azure Key Vault powinien mieć włączoną ochronę przed przeczyszczeniem | Złośliwe usunięcie zarządzanego modułu HSM usługi Azure Key Vault może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usunąć i przeczyścić zarządzany moduł HSM usługi Azure Key Vault. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałego zarządzanego modułu HSM usługi Azure Key Vault. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić zarządzanego modułu HSM usługi Azure Key Vault w okresie przechowywania usuwania nietrwałego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta magazynu powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
Kryptografia — 10.19
Identyfikator: Własność RMiT 10.19: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
Kryptografia — 10.20
Identyfikator: Własność RMiT 10.20: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Operacje w centrum danych
Operacje centrum danych — 10.27
Identyfikator: Własność RMiT 10.27: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a rozszerzenie nie jest zainstalowane. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Operacje centrum danych — 10.30
Identyfikator: Własność RMiT 10.30: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
Odporność sieci
Odporność sieci — 10.33
Identyfikator: Własność RMiT 10.33: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Grupa kontenerów usługi Azure Container Instance powinna zostać wdrożona w sieci wirtualnej | Bezpieczna komunikacja między kontenerami za pomocą sieci wirtualnych platformy Azure. Po określeniu sieci wirtualnej zasoby w sieci wirtualnej mogą bezpiecznie i prywatnie komunikować się ze sobą. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Bramy sieci VPN platformy Azure nie powinny używać jednostki SKU "podstawowa" | Te zasady zapewniają, że bramy sieci VPN nie używają jednostki SKU "podstawowa". | Inspekcja, wyłączone | 1.0.0 |
| Konfigurowanie konfiguracji aplikacji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi App Configuration, aby nie był dostępny za pośrednictwem publicznego Internetu. Ta konfiguracja pomaga chronić je przed ryzykiem wycieku danych. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie programu Azure SQL Server w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej wyłącza łączność publiczną, tak aby program Azure SQL Server mógł uzyskiwać dostęp tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp do sieci publicznej dla wszystkich baz danych w programie Azure SQL Server. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie programu Azure SQL Server w celu włączenia połączeń prywatnych punktów końcowych | Połączenie prywatnego punktu końcowego umożliwia prywatną łączność z usługą Azure SQL Database za pośrednictwem prywatnego adresu IP wewnątrz sieci wirtualnej. Ta konfiguracja poprawia stan zabezpieczeń i obsługuje narzędzia i scenariusze sieciowe platformy Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie rejestrów kontenerów w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Container Registry, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie https://aka.ms/acr/portal/public-network i https://aka.ms/acr/private-link. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie dysków zarządzanych w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu dysku zarządzanego, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Modyfikowanie, wyłączone | 2.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Usługa Cosmos DB powinna używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadna usługa Cosmos DB nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
| Centrum zdarzeń powinno używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne centrum zdarzeń nie jest skonfigurowane do korzystania z punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.1.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Dyski zarządzane powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Inspekcja, wyłączone | 2.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy usługi Azure File Sync jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej powinien być wyłączony dla rejestrów kontenerów | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów nie są uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów rejestru kontenerów. Dowiedz się więcej na stronie: https://aka.ms/acr/portal/public-network i https://aka.ms/acr/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną | Te zasady przeprowadzają inspekcję każdej maszyny wirtualnej połączonej z siecią wirtualną, która nie jest zatwierdzona. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Sieci wirtualne powinny używać określonej bramy sieci wirtualnej | Te zasady przeprowadzają inspekcję dowolnej sieci wirtualnej, jeśli trasa domyślna nie wskazuje określonej bramy sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
Odporność sieci — 10,35
Identyfikator: Własność RMiT 10.35: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia w zestawach skalowania maszyn wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla zestawów skalowania maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej, a rozszerzenie nie jest zainstalowane. Jeśli zestaw skalowania upgradePolicy jest ustawiony na Ręczne, należy zastosować rozszerzenie do wszystkich maszyn wirtualnych w zestawie, aktualizując je. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
Odporność sieci — 10.38
Identyfikator: Własność RMiT 10.38: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu niestandardowego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu niestandardowego obszaru roboczego. | DeployIfNotExists, Disabled | 1.0.0 |
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu domyślnego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu domyślnego obszaru roboczego usługi ASC. | DeployIfNotExists, Disabled | 1.0.0 |
Odporność sieci — 10.39
Identyfikator: Własność RMiT 10.39: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Niestandardowe zasady protokołu IPsec/IKE muszą być stosowane do wszystkich połączeń bramy sieci wirtualnej platformy Azure | Te zasady zapewniają, że wszystkie połączenia bramy sieci wirtualnej platformy Azure używają niestandardowych zasad zabezpieczeń protokołu internetowego (Ipsec)/Internet Key Exchange(IKE). Obsługiwane algorytmy i mocne strony klucza — https://aka.ms/AA62kb0 | Inspekcja, wyłączone | 1.0.0 |
| Program SQL Server powinien używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żaden program SQL Server nie jest skonfigurowany do używania punktu końcowego usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej | Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej. | Inspekcja, wyłączone | 1.0.0 |
Cloud Services
Cloud Services — 10.49
Identyfikator: Własność RMiT 10.49: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Lokalizacja zasobu inspekcji jest zgodna z lokalizacją grupy zasobów | Inspekcja, czy lokalizacja zasobu jest zgodna z lokalizacją grupy zasobów | inspekcje | 2.0.0 |
| Ograniczanie przepustowości Połączenie ion powinno być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania Połączenie ion. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. | AuditIfNotExists, Disabled | 1.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Usługa SQL Database powinna unikać używania nadmiarowości kopii zapasowych GRS | Bazy danych powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. | Odmów, Wyłączone | 2.0.0 |
| Usługa SQL Managed Instances powinna unikać używania nadmiarowości kopii zapasowych GRS | Wystąpienia zarządzane powinny unikać używania domyślnego magazynu geograficznie nadmiarowego do tworzenia kopii zapasowych, jeśli reguły przechowywania danych wymagają, aby dane pozostawały w określonym regionie. Uwaga: usługa Azure Policy nie jest wymuszana podczas tworzenia bazy danych przy użyciu języka T-SQL. Jeśli nie zostanie jawnie określona, baza danych z geograficznie nadmiarowym magazynem kopii zapasowych zostanie utworzona za pośrednictwem języka T-SQL. | Odmów, Wyłączone | 2.0.0 |
Cloud Services — 10.51
Identyfikator: Własność RMiT 10.51: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu | Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności | Inspekcja, wyłączone | 1.0.0 |
| Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database | Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. | AuditIfNotExists, Disabled | 2.0.0 |
Cloud Services — 10.53
Identyfikator: Własność RMiT 10.53: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa App Configuration powinna używać klucza zarządzanego przez klienta | Klucze zarządzane przez klienta zapewniają rozszerzoną ochronę danych, umożliwiając zarządzanie kluczami szyfrowania. Jest to często wymagane do spełnienia wymagań dotyczących zgodności. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. | Inspekcja, wyłączone | 1.0.0 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta | Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
Kontrola dostępu
Kontrola dostępu — 10.54
Identyfikator: Własność RMiT 10.54: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Konfiguracja aplikacji powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AuditIfNotExists, Disabled | 2.0.1 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Kontrola dostępu — 10.55
Identyfikator: Własność RMiT 10.55: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Reguły autoryzacji w wystąpieniu centrum zdarzeń powinny być zdefiniowane | Inspekcja istnienia reguł autoryzacji w jednostkach centrum zdarzeń w celu udzielenia dostępu z najniższymi uprawnieniami | AuditIfNotExists, Disabled | 1.0.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Kontrola dostępu — 10.58
Identyfikator: Własność RMiT 10.58: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Kontrola dostępu — 10.60
Identyfikator: Własność RMiT 10.60: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
Kontrola dostępu — 10.61
Identyfikator: Własność RMiT 10.61: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Kontrola dostępu — 10.62
Identyfikator: Własność RMiT 10.62: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
Zarządzanie systemami stosowania poprawek i końca życia
Patch and End-of-Life System Management — 10.63
Identyfikator: Własność RMiT 10.63: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows, które nie zostały skonfigurowane przy użyciu automatycznej aktualizacji sygnatur ochrony przed złośliwym kodem firmy Microsoft. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux. | AuditIfNotExists, Disabled | 3.0.0 |
Patch and End-of-Life System Management — 10.65
Identyfikator: Własność RMiT 10.65: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 4.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami. | AuditIfNotExists, Disabled | 3.0.0 |
Bezpieczeństwo usług cyfrowych
Bezpieczeństwo usług cyfrowych — 10.66
Identyfikator: Własność RMiT 10.66: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dziennik aktywności powinien być zachowywany przez co najmniej jeden rok | Te zasady sprawdzają dziennik aktywności, jeśli okres przechowywania nie jest ustawiony na 365 dni lub na zawsze (dni przechowywania ustawione na 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
| Profil dziennika usługi Azure Monitor powinien zbierać dzienniki dla kategorii "write", "delete" i "action" | Te zasady zapewniają, że profil dziennika zbiera dzienniki dla kategorii "write", "delete" i "action" | AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki usługi Azure Monitor dla Szczegółowe informacje aplikacji powinny być połączone z obszarem roboczym usługi Log Analytics | Połącz składnik Application Szczegółowe informacje z obszarem roboczym usługi Log Analytics w celu szyfrowania dzienników. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i uzyskania większej kontroli nad dostępem do danych w usłudze Azure Monitor. Łączenie składnika z obszarem roboczym usługi Log Analytics, który jest włączony przy użyciu klucza zarządzanego przez klienta, gwarantuje, że dzienniki aplikacji Szczegółowe informacje spełniają to wymaganie dotyczące zgodności, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Usługa Azure Monitor powinna zbierać dzienniki aktywności ze wszystkich regionów | Te zasady przeprowadzają inspekcję profilu dziennika usługi Azure Monitor, który nie eksportuje działań ze wszystkich regionów pomoc techniczna platformy Azure, w tym globalnych. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy wdrożyć rozwiązanie Azure Monitor "Zabezpieczenia i inspekcja" | Te zasady zapewniają wdrożenie zabezpieczeń i inspekcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Subskrypcje platformy Azure powinny mieć profil dziennika dla dziennika aktywności | Te zasady zapewniają włączenie profilu dziennika na potrzeby eksportowania dzienników aktywności. Przeprowadza inspekcję, czy nie utworzono profilu dziennika w celu wyeksportowania dzienników na konto magazynu lub do centrum zdarzeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie — konfigurowanie ustawień diagnostycznych dla baz danych SQL w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla baz danych SQL w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics, gdy w dowolnej bazie danych SQL, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 4.0.0 |
| Wdrażanie — konfigurowanie rozszerzenia usługi Log Analytics do włączenia na maszynach wirtualnych z systemem Windows | Wdróż rozszerzenie usługi Log Analytics dla maszyn wirtualnych z systemem Windows, jeśli obraz maszyny wirtualnej znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. Powiadomienie o wycofaniu: Agent usługi Log Analytics znajduje się na ścieżce wycofania i nie będzie obsługiwany po 31 sierpnia 2024 r. Przed tą datą należy przeprowadzić migrację do zastępczego agenta usługi Azure Monitor. | DeployIfNotExists, Disabled | 3.1.0 |
| Wdrażanie Ustawienia diagnostycznych dla konta usługi Batch w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla konta usługi Batch w celu przesyłania strumieniowego do regionalnego centrum zdarzeń po utworzeniu lub zaktualizowaniu dowolnego konta usługi Batch, które nie ma tych ustawień diagnostycznych. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla konta usługi Batch w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla konta usługi Batch w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy dowolne konto usługi Batch, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Analytics w usłudze Event Hub | Wdraża ustawienia diagnostyczne dla usługi Data Lake Analytics, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w usłudze Data Lake Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Analytics w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Data Lake Analytics, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Data Lake Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Storage Gen1 w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Data Lake Storage Gen1 w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy brakuje jakichkolwiek ustawień diagnostycznych usługi Data Lake Storage Gen1, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Data Lake Storage Gen1 w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Data Lake Storage Gen1 w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje jakichkolwiek ustawień diagnostycznych usługi Data Lake Storage Gen1, które nie są tworzone lub aktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla centrum zdarzeń w centrum zdarzeń | Wdraża ustawienia diagnostyczne centrum zdarzeń w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w dowolnym centrum zdarzeń, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.1.0 |
| Wdrażanie Ustawienia diagnostycznych dla centrum zdarzeń w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne centrum zdarzeń w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy w dowolnym centrum zdarzeń, które nie ma tych ustawień diagnostycznych, zostanie utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Key Vault w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Key Vault w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy brakuje dowolnego magazynu kluczy, który nie ma tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 3.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Logic Apps w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Logic Apps, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w usłudze Logic Apps brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Logic Apps w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Logic Apps, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Logic Apps brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usług wyszukiwania w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usług wyszukiwania w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usług wyszukiwania w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy wszystkie usługi wyszukiwania, które nie mają tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Service Bus w centrum zdarzeń | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego centrum zdarzeń, gdy w dowolnej usłudze Service Bus brakuje tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Service Bus w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Service Bus, aby przesyłać strumieniowo do regionalnego obszaru roboczego usługi Log Analytics, gdy w dowolnej usłudze Service Bus, która nie ma tych ustawień diagnostycznych, zostanie utworzona lub zaktualizowana. | DeployIfNotExists, Disabled | 2.1.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Stream Analytics w usłudze Event Hub | Wdraża ustawienia diagnostyczne usługi Stream Analytics w celu przesyłania strumieniowego do regionalnego centrum zdarzeń, gdy w usłudze Stream Analytics brakuje tych ustawień diagnostycznych, zostanie utworzony lub zaktualizowany. | DeployIfNotExists, Disabled | 2.0.0 |
| Wdrażanie Ustawienia diagnostycznych dla usługi Stream Analytics w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Stream Analytics w celu przesyłania strumieniowego do regionalnego obszaru roboczego usługi Log Analytics, gdy w usłudze Stream Analytics brakuje tych ustawień diagnostycznych, zostaną utworzone lub zaktualizowane. | DeployIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Dzienniki zasobów w zarządzanym module HSM usługi Azure Key Vault powinny być włączone | Aby ponownie utworzyć ślady aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, możesz chcieć przeprowadzić inspekcję, włączając dzienniki zasobów w zarządzanych modułach HSM. Postępuj zgodnie z instrukcjami w tym miejscu: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Te zasady przeprowadzają inspekcję wszystkich zestawów skalowania maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists, Disabled | 1.0.1 |
Zabezpieczenia usług cyfrowych — 10.68
Identyfikator: Własność RMiT 10.68: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
Rozproszona odmowa usługi (DDoS)
Rozproszona odmowa usługi (DDoS) — 11.13
Identyfikator: Własność RMiT 11.13: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
Ochrona przed utratą danych (DLP)
Ochrona przed utratą danych (DLP) — 11.15
Identyfikator: Własność RMiT 11.15: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zarządzany moduł HSM usługi Azure Key Vault powinien mieć włączoną ochronę przed przeczyszczeniem | Złośliwe usunięcie zarządzanego modułu HSM usługi Azure Key Vault może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usunąć i przeczyścić zarządzany moduł HSM usługi Azure Key Vault. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałego zarządzanego modułu HSM usługi Azure Key Vault. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić zarządzanego modułu HSM usługi Azure Key Vault w okresie przechowywania usuwania nietrwałego. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Konfigurowanie konfiguracji aplikacji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi App Configuration, aby nie był dostępny za pośrednictwem publicznego Internetu. Ta konfiguracja pomaga chronić je przed ryzykiem wycieku danych. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie programu Azure SQL Server w celu wyłączenia dostępu do sieci publicznej | Wyłączenie właściwości dostępu do sieci publicznej wyłącza łączność publiczną, tak aby program Azure SQL Server mógł uzyskiwać dostęp tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp do sieci publicznej dla wszystkich baz danych w programie Azure SQL Server. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie rejestrów kontenerów w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu usługi Container Registry, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie https://aka.ms/acr/portal/public-network i https://aka.ms/acr/private-link. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie dysków zarządzanych w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zasobu dysku zarządzanego, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Modyfikowanie, wyłączone | 2.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Dyski zarządzane powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: https://aka.ms/disksprivatelinksdoc. | Inspekcja, wyłączone | 2.0.0 |
| Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta | Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na https://aka.ms/disks-cmk. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Modyfikowanie — konfigurowanie usługi Azure File Sync w celu wyłączenia dostępu do sieci publicznej | Publiczny punkt końcowy usługi Azure File Sync jest wyłączony przez zasady organizacji. Nadal możesz uzyskać dostęp do usługi synchronizacji magazynu za pośrednictwem prywatnych punktów końcowych. | Modyfikowanie, wyłączone | 1.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
Security Operations Centre (SOC)
Security Operations Centre (SOC) — 11.17
Identyfikator: Własność RMiT 11.17: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
Security Operations Centre (SOC) — 11.18
Identyfikator: Własność RMiT 11.18: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
| Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
| Czas trwania dziennika powinien być włączony dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_duration. | AuditIfNotExists, Disabled | 1.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Ustawienia inspekcji SQL powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań | Właściwość AuditActionsAndGroups powinna zawierać co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP w celu zapewnienia dokładnego rejestrowania inspekcji | AuditIfNotExists, Disabled | 1.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Security Operations Centre (SOC) — 11.20
Identyfikator: Własność RMiT 11.20: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Zarządzanie ryzykiem cybernetycznym
Zarządzanie ryzykiem cybernetycznym — 11.2
Identyfikator: Własność RMiT 11.2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Zarządzanie ryzykiem cybernetycznym — 11.4
Identyfikator: Własność RMiT 11.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie kopii zapasowej na maszynach wirtualnych bez danego tagu do istniejącego magazynu usługi Recovery Services w tej samej lokalizacji | Wymuś tworzenie kopii zapasowej dla wszystkich maszyn wirtualnych, tworząc ich kopię zapasową do istniejącego centralnego magazynu usługi Recovery Services w tej samej lokalizacji i subskrypcji co maszyna wirtualna. Jest to przydatne, gdy w organizacji istnieje centralny zespół zarządzający kopiami zapasowymi dla wszystkich zasobów w ramach subskrypcji. Opcjonalnie można wykluczyć maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Zobacz: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Not allowed resource types (Niedozwolone typy zasobów) | Ogranicz typy zasobów, które można wdrożyć w danym środowisku. Ograniczenie typów zasobów może zmniejszyć złożoność i powierzchnię ataków środowiska, a jednocześnie pomóc w zarządzaniu kosztami. Wyniki zgodności są wyświetlane tylko dla niezgodnych zasobów. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Operacje cyberbezpieczeństwa
Operacje cyberbezpieczeństwa — 11.5
Identyfikator: Własność RMiT 11.5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Wdrażanie usługi Defender for Storage (klasycznej) na kontach magazynu | Te zasady umożliwiają usłudze Defender for Storage (wersja klasyczna) na kontach magazynu. | DeployIfNotExists, Disabled | 1.0.1 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
Operacje cyberbezpieczeństwa — 11.8
Identyfikator: Własność RMiT 11.8: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Środki kontroli nad cyberbezpieczeństwem
Środki kontroli nad cyberbezpieczeństwem - dodatek 5.2
ID: RMiT Dodatek 5.2 Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
Środki kontroli nad cyberbezpieczeństwem - dodatek 5.3
ID: RMiT Dodatek 5.3 Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
Środki kontroli nad cyberbezpieczeństwem - dodatek 5.5
ID: RMiT Dodatek 5.5 Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Niestandardowe zasady protokołu IPsec/IKE muszą być stosowane do wszystkich połączeń bramy sieci wirtualnej platformy Azure | Te zasady zapewniają, że wszystkie połączenia bramy sieci wirtualnej platformy Azure używają niestandardowych zasad zabezpieczeń protokołu internetowego (Ipsec)/Internet Key Exchange(IKE). Obsługiwane algorytmy i mocne strony klucza — https://aka.ms/AA62kb0 | Inspekcja, wyłączone | 1.0.0 |
| Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Użyj dozwolonych zewnętrznych adresów IP, aby uniknąć potencjalnego ataku (CVE-2020-8554) w klastrze Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
Środki kontroli nad cyberbezpieczeństwem - dodatek 5.6
ID: RMiT Dodatek 5.6 Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Ustawienie protokołu TLS w wersji 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database może być dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Serwer MariaDB powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure Database for MariaDB przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają inspekcję, czy usługa Azure Database for MariaDB ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwer MySQL powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej są używane do włączania ruchu z określonej podsieci do usługi Azure Database for MySQL przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają przeprowadzanie inspekcji, czy usługa Azure Database for MySQL ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Serwer PostgreSQL powinien używać punktu końcowego usługi sieci wirtualnej | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure Database for PostgreSQL przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. Te zasady umożliwiają przeprowadzanie inspekcji, czy usługa Azure Database for PostgreSQL ma używany punkt końcowy usługi sieci wirtualnej. | AuditIfNotExists, Disabled | 1.0.2 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych MySQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for MySQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych PostgreSQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for PostgreSQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 3.0.1 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Wystąpienie zarządzane SQL powinno mieć minimalną wersję protokołu TLS 1.2 | Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do usługi SQL Managed Instance tylko od klientów przy użyciu protokołu TLS 1.2. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, wyłączone | 1.0.1 |
| Reguła zapory sieci wirtualnej w usłudze Azure SQL Database powinna być włączona, aby zezwalać na ruch z określonej podsieci | Reguły zapory oparte na sieci wirtualnej służą do włączania ruchu z określonej podsieci do usługi Azure SQL Database przy jednoczesnym zapewnieniu, że ruch pozostaje w granicach platformy Azure. | AuditIfNotExists | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway | Nakazuje używanie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Azure Front Door Service | Nakazuje korzystanie z trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Azure Front Door Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Środki kontroli nad cyberbezpieczeństwem - dodatek 5.7
ID: RMiT Dodatek 5.7 Własność: Klient
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym | Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.0.1 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji | Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. | AuditIfNotExists, Disabled | 1.0.1 |
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists, Disabled | 3.0.1 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie programu Azure SQL Server w celu włączenia połączeń prywatnych punktów końcowych | Połączenie prywatnego punktu końcowego umożliwia prywatną łączność z usługą Azure SQL Database za pośrednictwem prywatnego adresu IP wewnątrz sieci wirtualnej. Ta konfiguracja poprawia stan zabezpieczeń i obsługuje narzędzia i scenariusze sieciowe platformy Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Inspekcja, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center | Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli agent usługi Log Analytics nie jest zainstalowany, którego usługa Security Center używa do monitorowania luk w zabezpieczeniach i zagrożeń | AuditIfNotExists, Disabled | 1.0.0 |
| Agent usługi Log Analytics powinien być zainstalowany na zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center | Usługa Security Center zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | Te zasady przeprowadzają inspekcję dowolnej maszyny wirtualnej z systemem Windows server bez wdrożonego rozszerzenia IaaSAntimalware firmy Microsoft. | AuditIfNotExists, Disabled | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera | Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.