Szczegóły wbudowanej inicjatywy Dotyczącej zgodności z przepisami systemu i organizacji (SOC) 2
W poniższym artykule opisano, jak wbudowana definicja inicjatywy zgodności z przepisami usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w systemach i organizacjach (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.
Poniższe mapowania dotyczą kontrolek System and Organization Controls (SOC) 2 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy SOC 2 Type 2 Regulatory Compliance.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Dodatkowe kryteria dostępności
Zarządzanie pojemnością
Identyfikator: SOC 2 Typ 2 A1.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie planowania pojemności | CMA_C1252 — Przeprowadzanie planowania pojemności | Ręczne, wyłączone | 1.1.0 |
Ochrona środowiska, oprogramowanie, procesy tworzenia kopii zapasowych danych i infrastruktura odzyskiwania
Identyfikator: SOC 2 Typ 2 A1.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Stosowanie automatycznego oświetlenia awaryjnego | CMA_0209 — stosowanie automatycznego oświetlenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Implementowanie metodologii testowania penetracyjnego | CMA_0306 — implementowanie metodologii testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Odzyskiwanie i ponowne zastępowanie zasobów po wystąpieniu zakłóceń | CMA_C1295 — odzyskiwanie i ponowne odtworzenie zasobów po wystąpieniu zakłóceń | Ręczne, wyłączone | 1.1.1 |
| Uruchamianie ataków symulacji | CMA_0486 — uruchamianie ataków symulacji | Ręczne, wyłączone | 1.1.0 |
| Oddzielnie przechowuj informacje o kopii zapasowej | CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Transferowanie informacji o kopii zapasowej do alternatywnej lokacji magazynu | CMA_C1294 — przenoszenie informacji o kopii zapasowej do alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
Testowanie planu odzyskiwania
Identyfikator: SOC 2 Typ 2 A1.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | CMA_C1263 — inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd wyników testowania planu awaryjnego | CMA_C1262 — przegląd wyników testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Testowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0509 — testowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
Dodatkowe kryteria poufności
Ochrona informacji poufnych
Identyfikator: SOC 2 Typ 2 C1.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Usuwanie poufnych informacji
Identyfikator: SOC 2 Typ 2 C1.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Środowisko sterowania
Zasada COSO 1
Identyfikator: SOC 2 Typ 2 CC1.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad postępowania w organizacji | CMA_0159 — opracowywanie kodeksu postępowania organizacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zakaz nieuczciwych praktyk | CMA_0396 — zakaz nieuczciwych praktyk | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i podpisywanie poprawionych reguł zachowania | CMA_0465 — przeglądanie i podpisywanie poprawionych reguł zachowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu | CMA_0521 — aktualizowanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | CMA_0522 — aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | Ręczne, wyłączone | 1.1.0 |
CoSO Zasada 2
Identyfikator: SOC 2 Typ 2 CC1.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 3
Identyfikator: SOC 2 Typ 2 CC1.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 4
Identyfikator: SOC 2 Typ 2 CC1.4 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie praktycznych ćwiczeń opartych na rolach | CMA_C1096 — zapewnianie praktycznych ćwiczeń opartych na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 5
Identyfikator: SOC 2 Typ 2 CC1.5 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Wdrażanie formalnego procesu sankcji | CMA_0317 — wdrażanie formalnego procesu sankcji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie personelu o sankcjach | CMA_0380 — powiadamianie personelu o sankcjach | Ręczne, wyłączone | 1.1.0 |
Komunikacja i informacje
Zasada COSO 13
Identyfikator: SOC 2 Typ 2 CC2.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 14
Identyfikator: SOC 2 Typ 2 CC2.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | Ręczne, wyłączone | 1.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Zasada COSO 15
Identyfikator: SOC 2 Typ 2 CC2.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie obowiązków podmiotów przetwarzających | CMA_0127 — definiowanie obowiązków podmiotów przetwarzających | Ręczne, wyłączone | 1.1.0 |
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu | CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie komunikacji | CMA_0449 — ograniczanie komunikacji | Ręczne, wyłączone | 1.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Ocena ryzyka
Zasada COSO 6
Identyfikator: SOC 2 Typ 2 CC3.1 Własność: współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kategoryzowanie informacji | CMA_0052 — kategoryzowanie informacji | Ręczne, wyłączone | 1.1.0 |
| Określanie potrzeb w zakresie ochrony informacji | CMA_C1750 — określanie potrzeb w zakresie ochrony informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie schematów klasyfikacji biznesowej | CMA_0155 — opracowywanie schematów klasyfikacji biznesowej | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 7
Identyfikator: SOC 2 Typ 2 CC3.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Kategoryzowanie informacji | CMA_0052 — kategoryzowanie informacji | Ręczne, wyłączone | 1.1.0 |
| Określanie potrzeb w zakresie ochrony informacji | CMA_C1750 — określanie potrzeb w zakresie ochrony informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie schematów klasyfikacji biznesowej | CMA_0155 — opracowywanie schematów klasyfikacji biznesowej | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Zasada COSO 8
Identyfikator: SOC 2 Typ 2 CC3.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 9
Identyfikator: SOC 2 Typ 2 CC3.4 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Monitorowanie działań
Zasada COSO 16
Identyfikator: SOC 2 Typ 2 CC4.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | CMA_C1149 — wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 17
Identyfikator: SOC 2 Typ 2 CC4.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Działania sterujące
Zasada COSO 10
Identyfikator: SOC 2 Typ 2 CC5.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Zasada COSO 11
Identyfikator: SOC 2 Typ 2 CC5.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Zasada COSO 12
Identyfikator: SOC 2 Typ 2 CC5.3 Własność: współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu logicznego i fizycznego
Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury
Identyfikator: SOC 2 Typ 2 CC6.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Obszary robocze usługi Azure Machine Edukacja powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Edukacja przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.0.3 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
| Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta | Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przechowywanych w usługach Cognitive Services za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o kluczach zarządzanych przez klienta na stronie https://go.microsoft.com/fwlink/?linkid=2121321. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
| Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Obsługa rejestrów przetwarzania danych osobowych | CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AuditIfNotExists, Disabled | 1.0.4 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Uzyskiwanie dostępu do aprowizacji i usuwania
Identyfikator: SOC 2 Typ 2 CC6.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Dostęp oparty na rolach i najniższy dostęp
Identyfikator: SOC 2 Typ 2 CC6.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.3 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie uprawnień użytkownika | CMA_C1039 — przeglądanie uprawnień użytkownika | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Ograniczony dostęp fizyczny
Identyfikator: SOC 2 Typ 2 CC6.4 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
Ochrona logiczna i fizyczna za pośrednictwem zasobów fizycznych
Identyfikator: SOC 2 Typ 2 CC6.5 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Środki bezpieczeństwa przed zagrożeniami poza granicami systemu
Identyfikator: SOC 2 Typ 2 CC6.6 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists, Disabled | 3.0.0-preview |
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Ograniczanie przenoszenia informacji do autoryzowanych użytkowników
Identyfikator: SOC 2 Typ 2 CC6.7 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists, Disabled | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists, Disabled | 3.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu
Identyfikator: SOC 2 Typ 2 CC6.8 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AuditIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
| Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy | Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. | AuditIfNotExists, Disabled | 1.0.0 |
| Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Operacje systemowe
Wykrywanie i monitorowanie nowych luk w zabezpieczeniach
Identyfikator: SOC 2 Typ 2 CC7.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane | Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. | AuditIfNotExists, Disabled | 3.0.0 |
| Konfigurowanie akcji dla niezgodnych urządzeń | CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Włączanie wykrywania urządzeń sieciowych | CMA_0220 — włączanie wykrywania urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie tablicy sterowania konfiguracji | CMA_0254 — ustanawianie tablicy sterowania konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Monitorowanie składników systemowych pod kątem nietypowego zachowania
Identyfikator: SOC 2 Typ 2 CC7.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji Administracja istracyjnych | Te zasady przeprowadzają inspekcję określonych operacji Administracja istracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w usłudze https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Inspekcja, wyłączone | 2.0.1 |
| Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Wykrywanie zdarzeń zabezpieczeń
Identyfikator: SOC 2 Typ 2 CC7.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Reagowanie na zdarzenia zabezpieczeń
Identyfikator: SOC 2 Typ 2 CC7.4 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie klas zdarzeń i wykonanych akcji | CMA_C1365 — identyfikowanie klas zdarzeń i akcji podjętych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Uwzględnij dynamiczną ponowną konfigurację wdrożonych zasobów klienta | CMA_C1364 — uwzględnij dynamiczną ponowną konfigurację wdrożonych zasobów klienta | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Odzyskiwanie po zidentyfikowanych zdarzeniach zabezpieczeń
Identyfikator: SOC 2 Typ 2 CC7.5 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie testów reagowania na zdarzenia | CMA_0060 — przeprowadzanie testów reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie z organizacjami zewnętrznymi w celu osiągnięcia perspektywy między organizacji | CMA_C1368 — koordynowanie z organizacjami zewnętrznymi w celu osiągnięcia perspektywy między organizacjami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Uruchamianie ataków symulacji | CMA_0486 — uruchamianie ataków symulacji | Ręczne, wyłączone | 1.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Zarządzanie zmianami
Zmiany infrastruktury, danych i oprogramowania
Identyfikator: SOC 2 Typ 2 CC8.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AuditIfNotExists, Disabled | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
| Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy | Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie akcji dla niezgodnych urządzeń | CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie tablicy sterowania konfiguracji | CMA_0254 — ustanawianie tablicy sterowania konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Środki zaradcze dotyczące ryzyka
Działania zaradcze związane z ryzykiem
Identyfikator: SOC 2 Typ 2 CC9.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie potrzeb w zakresie ochrony informacji | CMA_C1750 — określanie potrzeb w zakresie ochrony informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Zarządzanie ryzykiem dostawców i partnerów biznesowych
Identyfikator: SOC 2 Typ 2 CC9.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Definiowanie obowiązków podmiotów przetwarzających | CMA_0127 — definiowanie obowiązków podmiotów przetwarzających | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie zgodności dostawcy innej firmy | CMA_C1533 — monitorowanie zgodności dostawcy innej firmy | Ręczne, wyłączone | 1.1.0 |
| Rejestrowanie ujawnienia danych osobowych osobom trzecim | CMA_0422 — rejestrowanie ujawnienia danych osobowych osobom trzecim | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu | CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | CMA_C1871 — szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | Ręczne, wyłączone | 1.1.0 |
Dodatkowe kryteria ochrony prywatności
Oświadczenie o ochronie prywatności
Identyfikator: SOC 2 Typ 2 P1.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie i rozpowszechnianie zasad ochrony prywatności | CMA_0188 — dokumentowanie i rozpowszechnianie zasad ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że informacje o programie ochrony prywatności są publicznie dostępne | CMA_C1867 — upewnij się, że informacje o programie prywatności są publicznie dostępne | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Udostępnianie informacji o ochronie prywatności osobom publicznym i osobom fizycznym | CMA_C1861 — udostępnianie informacji o ochronie prywatności osobom publicznym i osobom fizycznym | Ręczne, wyłączone | 1.1.0 |
Zgoda na prywatność
Identyfikator: SOC 2 Typ 2 P2.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
Spójne zbieranie informacji osobistych
Identyfikator: SOC 2 Typ 2 P3.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie uprawnień prawnych do zbierania danych pii | CMA_C1800 — określanie uprawnień prawnych do zbierania danych pii | Ręczne, wyłączone | 1.1.0 |
| Proces dokumentowania w celu zapewnienia integralności danych piI | CMA_C1827 — proces dokumentowania w celu zapewnienia integralności danych piI | Ręczne, wyłączone | 1.1.0 |
| Regularne ocenianie i przeglądanie gospodarstw pii | CMA_C1832 — regularne ocenianie i przegląd gospodarstw pii | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
Jawna zgoda na dane osobowe
Identyfikator: SOC 2 Typ 2 P3.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zbieranie danych pii bezpośrednio z danej osoby | CMA_C1822 — zbieranie danych osobistych bezpośrednio z osoby fizycznej | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
Korzystanie z danych osobowych
Identyfikator: SOC 2 Typ 2 P4.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie podstawy prawnej przetwarzania danych osobowych | CMA_0206 — dokumentowanie podstawy prawnej przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie komunikacji | CMA_0449 — ograniczanie komunikacji | Ręczne, wyłączone | 1.1.0 |
Przechowywanie danych osobowych
Identyfikator: SOC 2 Typ 2 P4.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Proces dokumentowania w celu zapewnienia integralności danych piI | CMA_C1827 — proces dokumentowania w celu zapewnienia integralności danych piI | Ręczne, wyłączone | 1.1.0 |
Usuwanie danych osobowych
Identyfikator: SOC 2 Typ 2 P4.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie przeglądu dyspozycji | CMA_0391 — przeprowadzanie przeglądu dyspozycji | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie, czy dane osobowe są usuwane na końcu przetwarzania | CMA_0540 — sprawdź, czy dane osobowe są usuwane na końcu przetwarzania | Ręczne, wyłączone | 1.1.0 |
Dostęp do informacji osobistych
Identyfikator: SOC 2 Typ 2 P5.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie metod żądań konsumentów | CMA_0319 — implementowanie metod żądań konsumentów | Ręczne, wyłączone | 1.1.0 |
| Publikowanie reguł i przepisów dotyczących uzyskiwania dostępu do rekordów ustawy o ochronie prywatności | CMA_C1847 — publikowanie zasad i przepisów dotyczących uzyskiwania dostępu do rekordów ustawy o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
Korekta danych osobowych
Identyfikator: SOC 2 Typ 2 P5.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Odpowiadanie na żądania recyfikacji | CMA_0442 — odpowiadanie na żądania recytyfikacji | Ręczne, wyłączone | 1.1.0 |
Ujawnienie danych osobowych innych firm
Identyfikator: SOC 2 Typ 2 P6.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie obowiązków podmiotów przetwarzających | CMA_0127 — definiowanie obowiązków podmiotów przetwarzających | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących prywatności dla wykonawców i dostawców usług | CMA_C1810 — określanie wymagań dotyczących prywatności dla wykonawców i dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Rejestrowanie ujawnienia danych osobowych osobom trzecim | CMA_0422 — rejestrowanie ujawnienia danych osobowych osobom trzecim | Ręczne, wyłączone | 1.1.0 |
| Szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | CMA_C1871 — szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | Ręczne, wyłączone | 1.1.0 |
Autoryzowane ujawnienie danych osobowych
Identyfikator: SOC 2 Typ 2 P6.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zachowaj dokładną księgowość ujawniania informacji | CMA_C1818 — zachowaj dokładne ewidencjonowanie ujawnienia informacji | Ręczne, wyłączone | 1.1.0 |
Nieautoryzowane ujawnienie danych osobowych
Identyfikator: SOC 2 Typ 2 P6.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zachowaj dokładną księgowość ujawniania informacji | CMA_C1818 — zachowaj dokładne ewidencjonowanie ujawnienia informacji | Ręczne, wyłączone | 1.1.0 |
Umowy innych firm
Identyfikator: SOC 2 Typ 2 P6.4 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie obowiązków podmiotów przetwarzających | CMA_0127 — definiowanie obowiązków podmiotów przetwarzających | Ręczne, wyłączone | 1.1.0 |
Powiadomienie o nieautoryzowanym ujawnieniu innej firmy
Identyfikator: SOC 2 Typ 2 P6.5 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Bezpieczeństwo informacji i ochrona danych osobowych | CMA_0332 — Bezpieczeństwo informacji i ochrona danych osobowych | Ręczne, wyłączone | 1.1.0 |
Powiadomienie o zdarzeniu dotyczącym prywatności
Identyfikator: SOC 2 Typ 2 P6.6 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Bezpieczeństwo informacji i ochrona danych osobowych | CMA_0332 — Bezpieczeństwo informacji i ochrona danych osobowych | Ręczne, wyłączone | 1.1.0 |
Księgowość ujawnienia danych osobowych
Identyfikator: SOC 2 Typ 2 P6.7 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zachowaj dokładną księgowość ujawniania informacji | CMA_C1818 — zachowaj dokładne ewidencjonowanie ujawnienia informacji | Ręczne, wyłączone | 1.1.0 |
| Udostępnianie ewidencjonowania informacji na żądanie | CMA_C1820 — udostępnianie ewidencjonowania informacji na żądanie | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie komunikacji | CMA_0449 — ograniczanie komunikacji | Ręczne, wyłączone | 1.1.0 |
Jakość informacji osobistych
Identyfikator: SOC 2 Typ 2 P7.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Potwierdzanie jakości i integralności danych pii | CMA_C1821 — potwierdzanie jakości i integralności danych piI | Ręczne, wyłączone | 1.1.0 |
| Wytyczne dotyczące kwestii dotyczących zapewniania jakości i integralności danych | CMA_C1824 — wytyczne dotyczące zapewniania jakości i integralności danych | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie niedokładnych lub nieaktualnych danych piI | CMA_C1823 — weryfikowanie niedokładnych lub nieaktualnych danych piI | Ręczne, wyłączone | 1.1.0 |
Zarządzanie skargami dotyczącymi prywatności i zarządzanie zgodnością
Identyfikator: SOC 2 Typ 2 P8.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie i implementowanie procedur skarg dotyczących prywatności | CMA_0189 — dokumentowanie i wdrażanie procedur skarg dotyczących prywatności | Ręczne, wyłączone | 1.1.0 |
| Regularne ocenianie i przeglądanie gospodarstw pii | CMA_C1832 — regularne ocenianie i przegląd gospodarstw pii | Ręczne, wyłączone | 1.1.0 |
| Bezpieczeństwo informacji i ochrona danych osobowych | CMA_0332 — Bezpieczeństwo informacji i ochrona danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Terminowe reagowanie na skargi, obawy lub pytania | CMA_C1853 — terminowe reagowanie na skargi, obawy lub pytania | Ręczne, wyłączone | 1.1.0 |
| Szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | CMA_C1871 — szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | Ręczne, wyłączone | 1.1.0 |
Dodatkowe kryteria integralności przetwarzania
Definicje przetwarzania danych
Identyfikator: SOC 2 Typ 2 PI1.1 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie komunikacji | CMA_0449 — ograniczanie komunikacji | Ręczne, wyłączone | 1.1.0 |
Dane wejściowe systemu z pełną dokładnością i dokładnością
Identyfikator: SOC 2 Typ 2 PI1.2 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie weryfikacji danych wejściowych informacji | CMA_C1723 — przeprowadzanie weryfikacji danych wejściowych informacji | Ręczne, wyłączone | 1.1.0 |
Przetwarzanie systemu
Identyfikator: SOC 2 Typ 2 PI1.3 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Generowanie komunikatów o błędach | CMA_C1724 — generowanie komunikatów o błędach | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie weryfikacji danych wejściowych informacji | CMA_C1723 — przeprowadzanie weryfikacji danych wejściowych informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Dane wyjściowe systemu są kompletne, dokładne i terminowe
Identyfikator: SOC 2 Typ 2 PI1.4 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Przechowywanie danych wejściowych i wyjściowych całkowicie, dokładnie i terminowo
Identyfikator: SOC 2 Typ 2 PI1.5 Własność: Współużytkowany
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
| Oddzielnie przechowuj informacje o kopii zapasowej | CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.