Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3 (Azure для государственных организаций)
В следующей статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям сопоставляется с областями соответствия нормативным требованиям и директивами стандарта CMMC уровня 3 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия см. на странице с описанием CMMC уровня 3. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.
Далее представлены сопоставления для директив CMMC уровня 3. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы CMMC уровня 3 по обеспечению соответствия нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Управление доступом
Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы).
Id: CMMC L3 AC.1.001 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям.
Id: CMMC L3 AC.1.002 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Проверка и ограничение или администрирование подключений и использования внешних информационных систем.
Id: CMMC L3 AC.1.003 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей.
Id: CMMC L3 AC.2.007 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Мониторинг сеансов удаленного доступа и управление ими.
Id: CMMC L3 AC.2.013 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями
Id: CMMC L3 AC.2.016 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий
Id: CMMC L3 AC.3.017 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Запрет непривилегированным пользователям выполнять привилегированные действия, а также собирать сведения о выполнении таких действий в журналах аудита.
Id: CMMC L3 AC.3.018 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью.
Id: CMMC L3 AC.3.021 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Аудит и система отчетности
Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий.
Id: CMMC L3 AU.2.041 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" | Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists, Disabled | 1.0.0 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении
Id: CMMC L3 AU.2.042 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
Журнал действий должен храниться как минимум один год | Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). | AuditIfNotExists, Disabled | 1.0.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Предупреждение в случае сбоя процесса ведения журнала аудита
Id: CMMC L3 AU.3.046 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев.
Id: CMMC L3 AU.3.048 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Защита сведений и инструментов аудита от несанкционированного доступа, изменения и удаления.
Id: CMMC L3 AU.3.049 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
Оценка безопасности
Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях.
Id: CMMC L3 CA.2.158 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности.
Id: CMMC L3 CA.3.161 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Управление конфигурацией
Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы.
Id: CMMC L3 CM.2.061 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей.
Id: CMMC L3 CM.2.062 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Мониторинг установленного пользователем программного обеспечения и управление им
Id: CMMC L3 CM.2.063 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации.
Id: CMMC L3 CM.2.064 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Отслеживание, проверка, утверждение или отклонение, а также регистрация изменений в системах организации.
Id: CMMC L3 CM.2.065 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб.
Id: CMMC L3 CM.3.068 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Идентификация и аутентификация
Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации.
Идентификатор: ВЛАДЕНИЕ CMMC L3 IA.1.077: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Использование многофакторной проверки подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к непривилегированным учетным записям
Id: CMMC L3 IA.3.083 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Использование механизмов аутентификации с защитой от повторных атак для сетевого доступа к привилегированным и непривилегированным учетным записям.
Id: CMMC L3 IA.3.084 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Реакция на инцидент
Создание в организации возможности обработки инцидентов для систем организации, включая действия по подготовке, обнаружению, анализу, изоляции, восстановлению и реагированию пользователей.
Id: CMMC L3 IR.2.092 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Обнаружение событий и информирование о них.
Id: CMMC L3 IR.2.093 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Восстановление
Регулярное создание и проверка резервных копий данных.
Id: CMMC L3 RE.2.137 Ownership: Customer
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, Disabled | 2.0.0 |
Регулярное создание полных, комплексных и устойчивых резервных копий данных в соответствии с политиками организации.
Идентификатор: CMMC L3 RE.3.139 Владение: Клиент
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, Disabled | 2.0.0 |
конфиденциальности
Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации.
Id: CMMC L3 RM.2.141 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают
Id: CMMC L3 RM.2.142 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Устранение уязвимостей в соответствии с оценками рисков.
Id: CMMC L3 RM.2.143 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Управление рисками
Периодическая оценка для определения и ранжирования рисков в соответствии с их определенными категориями, источниками и критериями оценки.
Id: CMMC L3 RM.3.144 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
Защита системы и средств передачи данных
Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации
Id: CMMC L3 SC.1.175 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей
Id: CMMC L3 SC.1.176 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Использование зашифрованных сеансов для управления сетевыми устройствами.
Id: CMMC L3 SC.2.179 Ownership: Customer
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации.
Id: CMMC L3 SC.3.177 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Audit, Deny, Disabled | 2.2.0 |
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Audit, Deny, Disabled | 1.0.0 |
Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ | Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. | Audit, Deny, Disabled | 1.0.0 |
Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом | Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | Audit, Deny, Disabled | 1.0.0 |
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Audit, Deny, Disabled | 2.0.0 |
В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 2.0.0 |
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах.
Id: CMMC L3 SC.3.180 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Отделение пользовательских функций от функций управления системой.
Id: CMMC L3 SC.3.181 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений).
Id: CMMC L3 SC.3.183 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности.
Id: CMMC L3 SC.3.185 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Создание криптографических ключей и управление ими для шифрования в системах организации.
Id: CMMC L3 SC.3.187 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
Защита подлинности для сеансов обмена данными.
Id: CMMC L3 SC.3.190 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Защита конфиденциальности неактивной контролируемой несекретной информации
Идентификатор: совместное владение CMMC L3 SC.3.191: shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Audit, Deny, Disabled | 1.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Audit, Deny, Disabled | 2.0.0 |
В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 2.0.0 |
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Целостность системы и данных
Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях.
Id: CMMC L3 SI.1.210: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Защита от вредоносного кода в соответствующих расположениях в информационных системах организации.
Id: CMMC L3 SI.1.211: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
Обновление механизмов защиты от вредоносного кода при доступности новых выпусков.
Id: CMMC L3 SI.1.212 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов.
Id: CMMC L3 SI.1.213 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков
Id: CMMC L3 SI.2.216 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Шлюза приложений | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Шлюза приложений. | Audit, Deny, Disabled | 1.0.0 |
Брандмауэр веб-приложения (WAF) должен использовать указанный режим для Azure Front Door Service | Требует включения режима "Обнаружение" или "Предотвращение" во всех политиках брандмауэра веб-приложения для Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Выявление незаконного использования систем организации.
Id: CMMC L3 SI.2.217 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Журнал действий должен храниться как минимум один год | Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). | AuditIfNotExists, Disabled | 1.0.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" | Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists, Disabled | 1.0.0 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.