Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к: ✔️ виртуальные машины Linux ✔️ виртуальные машины Windows ✔️ гибкие наборы масштабирования ✔️ унифицированные наборы масштабирования
Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для виртуальных машин Azure. Встроенные элементы управления безопасностью можно назначить отдельно, чтобы обеспечить соответствие ресурсов Azure определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Используйте ссылку в столбце версии политики , чтобы просмотреть источник в репозитории GitHub политики Azure.
Important
Каждый элемент управления связан с одним или несколькими определениями политики Azure . Эти политики могут помочь вам оценить соответствие элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Таким образом , соответствие политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
Защита ISM правительства Австралии
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — Australian Government ISM PROTECTED. Дополнительные сведения об этом стандарте соответствия см. в статье Защищено согласно руководству по информационной безопасности полномочного органа Австралии.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 415 | Идентификация пользователя — 415 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 415 | Идентификация пользователя — 415 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 415 | Идентификация пользователя — 415 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 421 | Однофакторная проверка подлинности — 421 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 421 | Однофакторная проверка подлинности — 421 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 421 | Однофакторная проверка подлинности — 421 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 421 | Однофакторная проверка подлинности — 421 | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" | 3.0.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 445 | Привилегированный доступ к системам — 445 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 445 | Привилегированный доступ к системам — 445 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 445 | Привилегированный доступ к системам — 445 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по управлению системой — применение исправлений | 940 | Когда следует устанавливать исправление уязвимостей безопасности — 940 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по использованию шифрования — протокол TLS | 1139 | Использование протокола TLS — 1139 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по использованию шифрования — протокол TLS | 1139 | Использование протокола TLS — 1139 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по использованию шифрования — протокол TLS | 1139 | Использование протокола TLS — 1139 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по использованию шифрования — протокол TLS | 1139 | Использование протокола TLS — 1139 | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Рекомендации по управлению системой — применение исправлений | 1144 | Когда следует устанавливать исправление уязвимостей безопасности — 1144 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по управлению сетями — проектирование и настройка сети | 1182 | Средства контроля сетевого доступа — 1182 | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1277 | 1277. Обмен данными между серверами баз данных и веб-серверами | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1277 | 1277. Обмен данными между серверами баз данных и веб-серверами | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1277 | 1277. Обмен данными между серверами баз данных и веб-серверами | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1277 | 1277. Обмен данными между серверами баз данных и веб-серверами | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Рекомендации для шлюзов — фильтрация содержимого | 1288 | Поиск вирусов — 1288 | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Рекомендации по управлению системой — системное администрирование | 1386 | Ограничение потоков трафика управления — 1386 | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Рекомендации по укреплению безопасности системы — усиление защиты операционной системы | 1417 | 1417. Антивирусное программное обеспечение | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Рекомендации по управлению системой — применение исправлений | 1472 | Когда следует устанавливать исправление уязвимостей безопасности — 1472 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1494 | Когда следует устанавливать исправление уязвимостей безопасности — 1494 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1495 | Когда следует устанавливать исправление уязвимостей безопасности — 1495 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по управлению системой — применение исправлений | 1496 | Когда следует устанавливать исправление уязвимостей безопасности — 1496 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1503 | Стандартный доступ к системам — 1503 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1503 | Стандартный доступ к системам — 1503 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1503 | Стандартный доступ к системам — 1503 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1507 | Привилегированный доступ к системам — 1507 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1507 | Привилегированный доступ к системам — 1507 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1507 | Привилегированный доступ к системам — 1507 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1508 | Привилегированный доступ к системам — 1508 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1508 | Привилегированный доступ к системам — 1508 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1508 | Привилегированный доступ к системам — 1508 | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам | 1508 | Привилегированный доступ к системам — 1508 | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Рекомендации по управлению системой — резервное копирование и восстановление данных | 1511 | Выполнение резервного копирования — 1511 | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Проверка подлинности в системах — 1546 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Проверка подлинности в системах — 1546 | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Проверка подлинности в системах — 1546 | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Проверка подлинности в системах — 1546 | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Проверка подлинности в системах — 1546 | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
Федеральная PBMM Канады
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям схемы Canada Federal PBMM. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием схемы Canada Federal PBMM.
Тесты производительности CIS для платформ Microsoft Azure 1.1.0
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 2. Центр безопасности | 2.10 | Обеспечение того, что параметр "Мониторинг оценки уязвимостей" не имеет значение "Отключено" в политике ASC по умолчанию | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| 2. Центр безопасности | 2.12 | Обеспечение того, что параметр "Мониторинг JIT-доступа к сети" не имеет значение "Отключено" в политике ASC по умолчанию | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 2. Центр безопасности | 2.9 | Обеспечение того, что параметр "Включение мониторинга брандмауэра следующего поколения (NGFW)" не имеет значение "Отключено" в политике ASC по умолчанию | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| 7. Виртуальные машины | 7.4 | Обеспечение того, что установлены только утвержденные расширения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
Эталонные требования CIS для Microsoft Azure Foundations, версия 1.3.0
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 7. Виртуальные машины | 7.1 | Обеспечение использование Управляемых дисков виртуальными машинами. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 7. Виртуальные машины | 7.4 | Обеспечение того, что установлены только утвержденные расширения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
Бенчмарк CIS Microsoft Azure Foundations версии 1.4.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 1.4.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 7. Виртуальные машины | 7.1 | Обеспечение использование Управляемых дисков виртуальными машинами. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 7. Виртуальные машины | 7.4 | Убедитесь, что установлены только утвержденные расширения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 2.0.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Убедитесь, что для состояния "Применить обновления системы" для Microsoft Defender задано значение "Завершено" | Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | 3.9.0 |
| 6 | 6.1 | Убедитесь, что доступ по протоколу RDP из Интернета оценивается и ограничен | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| 6 | 6.2 | Убедитесь, что доступ SSH из Интернета оценивается и ограничен | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| 7 | 7.2 | Обеспечение использование Управляемых дисков виртуальными машинами. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 7 | 7.4 | Убедитесь, что "Неподключенные диски" шифруются с помощью ключа, управляемого клиентом (CMK) | Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | 1.0.0 |
| 7 | 7.5 | Убедитесь, что установлены только утвержденные расширения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
CMMC уровня 3
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Access Control | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Access Control | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Access Control | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Access Control | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Access Control | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Access Control | AC.1.003 | Проверка и ограничение или администрирование подключений и использования внешних информационных систем. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Access Control | AC.2.007 | Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Access Control | AC.2.008 | Использование непривилегированных учетных записей или ролей при доступе к функциям, не связанным с безопасностью. | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | 3.0.0 |
| Access Control | AC.2.008 | Использование непривилегированных учетных записей или ролей при доступе к функциям, не связанным с безопасностью. | Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | 3.0.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Access Control | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Access Control | AC.2.016 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Access Control | AC.2.016 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Access Control | AC.3.017 | Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий | Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | 2.0.0 |
| Access Control | AC.3.017 | Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий | Аудит компьютеров Windows с указанными участниками в группе администраторов | 2.0.0 |
| Access Control | AC.3.018 | Запрет непривилегированным пользователям выполнять привилегированные действия, а также собирать сведения о выполнении таких действий в журналах аудита. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" | 3.0.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | 3.0.0 |
| Access Control | AC.3.021 | Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. | Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | 3.0.0 |
| Оценка безопасности | CA.2.158 | Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Оценка безопасности | CA.3.161 | Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Управление конфигурацией | CM.2.061 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Управление конфигурацией | CM.2.062 | Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" | 3.0.0 |
| Управление конфигурацией | CM.2.063 | Мониторинг установленного пользователем программного обеспечения и управление им | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | 3.0.0 |
| Управление конфигурацией | CM.2.064 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Управление конфигурацией | CM.2.064 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Управление конфигурацией | CM.2.065 | Отслеживание, проверка, утверждение или отклонение, а также регистрация изменений в системах организации. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" | 3.0.0 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | 3.1.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | IA.1.077 | Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Аудит компьютеров Windows без включенного параметра сложности пароля | 2.0.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | 2.1.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | IA.2.078 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | IA.2.079 | Запрет на повторное использование пароля в указанном числе поколений | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | IA.2.079 | Запрет на повторное использование пароля в указанном числе поколений | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | IA.2.079 | Запрет на повторное использование пароля в указанном числе поколений | Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | 2.1.0 |
| Идентификация и аутентификация | IA.2.079 | Запрет на повторное использование пароля в указанном числе поколений | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | IA.2.079 | Запрет на повторное использование пароля в указанном числе поколений | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | IA.2.081 | Хранение и передача только криптографически защищенных паролей | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | IA.2.081 | Хранение и передача только криптографически защищенных паролей | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | IA.2.081 | Хранение и передача только криптографически защищенных паролей | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Идентификация и аутентификация | IA.2.081 | Хранение и передача только криптографически защищенных паролей | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | IA.2.081 | Хранение и передача только криптографически защищенных паролей | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | IA.3.084 | Использование механизмов аутентификации с защитой от повторных атак для сетевого доступа к привилегированным и непривилегированным учетным записям. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Recovery | RE.2.137 | Регулярное создание и проверка резервных копий данных. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Recovery | RE.2.137 | Регулярное создание и проверка резервных копий данных. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| Recovery | RE.3.139 | Регулярное создание полных, комплексных и устойчивых резервных копий данных в соответствии с политиками организации. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Recovery | RE.3.139 | Регулярное создание полных, комплексных и устойчивых резервных копий данных в соответствии с политиками организации. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| Оценка риска | RM.2.141 | Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Оценка риска | RM.2.142 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Оценка риска | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.176 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | SC.1.176 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.2.179 | Использование зашифрованных сеансов для управления сетевыми устройствами. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Защита системы и средств передачи данных | SC.3.181 | Отделение пользовательских функций от функций управления системой. | Аудит компьютеров Windows с указанными участниками в группе администраторов | 2.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Защита системы и средств передачи данных | SC.3.185 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Защита системы и средств передачи данных | SC.3.190 | Защита подлинности для сеансов обмена данными. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Целостность системы и данных | SI.1.210 | Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | SI.1.211 | Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | SI.1.211 | Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Целостность системы и данных | SI.1.212 | Обновление механизмов защиты от вредоносного кода при доступности новых выпусков. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | SI.1.213 | Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | SI.1.213 | Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов. | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
FedRAMP High
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте соответствия см. в разделе FedRAMP High.
FedRAMP Moderate
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте соответствия см. в разделе FedRAMP Moderate.
HIPAA (Закон о портативности и подотчетности медицинского страхования) HITRUST (Организация по обеспечению надежности и доверия в IT-надежности)
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Azure — HIPAA HITRUST. Дополнительные сведения об этом стандарте соответствия см. в разделе HIPAA HITRUST.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Идентификация и проверка подлинности пользователей | 11210.01q2Organizational.10 — 01.q | Электронные подписи и рукописные подписи, выполненные для электронных записей, должны быть связаны с соответствующими электронными записями. | Аудит компьютеров Windows с указанными участниками в группе администраторов | 2.0.0 |
| Идентификация и проверка подлинности пользователей | 11211.01q2Organizational.11 — 01.q | Подписанные электронные записи должны содержать связанные с подписыванием сведения в понятном для человека формате. | Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | 2.0.0 |
| 02 Защита Конечных Устройств | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Защита от вредоносного и мобильного кода | Развертывание расширения IaaSAntimalware (Майкрософт) по умолчанию для Windows Server | 1.1.0 |
| 02 Защита Конечных Устройств | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Защита от вредоносного и мобильного кода | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Управление конфигурацией 06 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Безопасность системных файлов | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" | 3.0.0 |
| Управление конфигурацией 06 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Безопасность системных файлов | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" | 3.0.0 |
| Управление конфигурацией 06 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление конфигурацией 06 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Безопасность в процессах разработки и поддержки | Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" | 3.0.0 |
| Управление уязвимостями 07 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Управление техническими уязвимостями | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Управление уязвимостями 07 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Управление техническими уязвимостями | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" | 3.0.0 |
| Управление уязвимостями 07 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Управление техническими уязвимостями | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Защита сети 08 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита сети 08 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Управление сетевой безопасностью | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Защита сети 08 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Управление сетевой безопасностью | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Защита сети 08 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Управление сетевой безопасностью | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Защита сети 08 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Управление сетевой безопасностью | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита сети 08 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Управление сетевой безопасностью | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита сети 08 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Управление сетевой безопасностью | Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" | 3.0.0 |
| Защита сети 08 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Управление безопасностью сети | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" | 3.0.0 |
| Защита сети 08 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Управление сетевой безопасностью | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Защита сети 08 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Управление сетевой безопасностью | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Защита сети 08 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Network контроль доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Back-up | 1699.09l1Organizational.10 — 09.l | Роли и обязанности сотрудников в процессе резервного копирования данных определены и известны сотрудникам. В частности, для создания резервных копий данных организации и (или) клиентов на своих устройствах сотрудники должны быть пользователями BYOD (участниками инициативы "Принеси свое устройство"). | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| 11 контроль доступа | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Авторизованный доступ к информационным системам | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 11 контроль доступа | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Network контроль доступа | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 11 контроль доступа | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Операционная система контроль доступа | Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов | 2.0.0 |
| 11 контроль доступа | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Операционная система контроль доступа | Аудит компьютеров Windows с указанными участниками в группе администраторов | 2.0.0 |
| 11 контроль доступа | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Операционная система контроль доступа | Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | 2.0.0 |
| 11 контроль доступа | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Авторизованный доступ к информационным системам | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| 11 контроль доступа | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Авторизованный доступ к информационным системам | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" | 3.0.0 |
| 11 контроль доступа | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Авторизованный доступ к информационным системам | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| 11 контроль доступа | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Network контроль доступа | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 11 контроль доступа | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Network контроль доступа | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 11 контроль доступа | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Network контроль доступа | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 11 контроль доступа | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Network контроль доступа | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| 12 Ведение журнала аудита и мониторинг | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Мониторинг | Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics | 2.0.0 |
| 12 Ведение журнала аудита и мониторинг | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Мониторинг | Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics | 2.0.0 |
| 12 Ведение журнала аудита и мониторинг | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Документированные операционные процедуры | Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" | 3.0.0 |
| 12 Ведение журнала аудита и мониторинг | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Документированные операционные процедуры | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" | 3.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Резервное копирование информации | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Резервное копирование информации | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Аспекты информационной безопасности управления непрерывностью бизнес-процессов | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Аспекты информационной безопасности управления непрерывностью бизнес-процессов | Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" | 3.0.0 |
| 16 Непрерывность бизнес-процессов и аварийное восстановление | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Аспекты информационной безопасности управления непрерывностью бизнес-процессов | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
IRS 1075, сентябрь 2016 г.
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям схемы IRS 1075 September 2016. Дополнительные сведения об этом стандарте соответствия см. в описании схемы IRS 1075 September 2016.
ISO 27001:2013
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта ISO 27001:2013. Дополнительные сведения об этом стандарте соответствия см. в статье ISO 27001:2013.
Конфиденциальные политики microsoft Cloud для суверенитета
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в разделе Политика Azure сведения о соответствии нормативным требованиям для политик конфиденциальности базовых показателей суверенитета MCfS. Дополнительные сведения об этом стандарте соответствия см . в портфелях политик политики суверенитета Microsoft Cloud.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| SO.3 — ключи, управляемые клиентом | SO.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | 1.0.0 |
| SO.3 — ключи, управляемые клиентом | SO.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | 3.0.0 |
| SO.4 . Конфиденциальные вычисления Azure | SO.4 | Продукты Azure должны быть настроены для использования SKU конфиденциальных вычислений Azure, если это возможно. | Разрешенные номера SKU размеров виртуальных машин | 1.0.1 |
Глобальные политики Microsoft Cloud для суверенитета
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для глобальных политик MCfS Для базовых глобальных политик. Дополнительные сведения об этом стандарте соответствия см . в портфелях политик политики суверенитета Microsoft Cloud.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| SO.5 — доверенный запуск | SO.5 | Виртуальные машины должны быть настроены с номерами SKU доверенных запусков и доверенным запуском, если это возможно. | Диски и образ ОС должны поддерживать TrustedLaunch | 1.0.0 |
| SO.5 — доверенный запуск | SO.5 | Виртуальные машины должны быть настроены с номерами SKU доверенных запусков и доверенным запуском, если это возможно. | Виртуальная машина должна иметь включенную функцию TrustedLaunch | 1.0.0 |
Управление безопасностью в облаке Майкрософт
Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — microsoft cloud security benchmark.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Сетевая безопасность | NS-1 | NS-1 Установка границ сегментации сети | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Сетевая безопасность | NS-1 | NS-1 Установка границ сегментации сети | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Сетевая безопасность | NS-1 | NS-1 Установка границ сегментации сети | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Сетевая безопасность | NS-3 | NS-3 Развертывание брандмауэра на границе корпоративной сети | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Сетевая безопасность | NS-3 | NS-3 Развертывание брандмауэра на границе корпоративной сети | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Сетевая безопасность | NS-3 | NS-3 Развертывание брандмауэра на границе корпоративной сети | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Управление идентификацией | IM-3 | IM-3 Безопасное и автоматизированное управление идентификаторами приложений | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Управление идентификацией | IM-6 | IM-6 Используйте строгие меры аутентификации | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| Управление идентификацией | IM-8 | IM-8 Ограничение доступа к учетным данным и секретам | Компьютеры должны иметь разрешенные секретные выводы | 1.0.2 |
| Привилегированный доступ | PA-2 | PA-2 избегайте постоянного доступа для учетных записей и разрешений | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита данных | DP-3 | DP-3 Шифрует конфиденциальные данные при передаче | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Защита данных | DP-4 | DP-4 Включение шифрования неактивных данных по умолчанию | Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | 1.2.1 |
| Защита данных | DP-4 | DP-4 Включение шифрования неактивных данных по умолчанию | Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | 1.0.0 |
| Защита данных | DP-4 | DP-4 Включение шифрования неактивных данных по умолчанию | Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. | 1.1.1 |
| Управление активами | AM-2 | AM-2 используйте только утвержденные службы | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Ведение журналов и обнаружение угроз | LT-1 | LT-1 Включение возможностей обнаружения угроз | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Ведение журналов и обнаружение угроз | LT-2 | LT-2 Включение обнаружения угроз для управления удостоверениями и доступом | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Ведение журналов и обнаружение угроз | LT-4 | LT-4 Включение ведения журнала сети для исследования безопасности | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Ведение журналов и обнаружение угроз | LT-4 | LT-4 Включение ведения журнала сети для исследования безопасности | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | 6.0.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | 5.1.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | 4.0.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | 3.1.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | 1.0.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | 4.0.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | 2.0.0-preview |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Управление состоянием защиты и уязвимостью | PV-4 | Аудит и обеспечение безопасных конфигураций для вычислительных ресурсов по стандарту PV-4 | Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | 2.1.0 |
| Управление состоянием защиты и уязвимостью | PV-5 | PV-5 Выполнение оценки уязвимостей | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Управление состоянием защиты и уязвимостью | PV-5 | PV-5 Выполнение оценки уязвимостей | Компьютеры должны иметь разрешенные секретные выводы | 1.0.2 |
| Управление состоянием защиты и уязвимостью | PV-6 | PV-6 Быстро и автоматически исправьте уязвимости | Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | 3.9.0 |
| Управление состоянием защиты и уязвимостью | PV-6 | PV-6 Быстро и автоматически исправьте уязвимости | Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | 1.0.0 |
| Управление состоянием защиты и уязвимостью | PV-6 | PV-6 Быстро и автоматически исправьте уязвимости | На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | 1.0.1 |
| Безопасность конечных точек | ES-2 | ES-2 используйте современное программное обеспечение для защиты от вредоносных программ | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Резервное копирование и восстановление | BR-1 | BR-1 Обеспечение регулярного автоматического резервного копирования | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| Резервное копирование и восстановление | BR-2 | BR-2 Защита данных резервного копирования и восстановления | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
NIST SP 800-171 R2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Access Control | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Access Control | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Access Control | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Access Control | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Access Control | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| Access Control | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Access Control | 3.1.13 | Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа. | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Access Control | 3.1.14 | Маршрутизация удаленного доступа через управляемые точки контроля доступа. | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Access Control | 3.1.2 | Ограничить системный доступ к типам транзакций и функций, которые авторизованные пользователи могут выполнять. | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Access Control | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Оценка риска | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Оценка риска | 3.11.2 | Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают | Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | 1.0.0 |
| Оценка риска | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Оценка риска | 3.11.3 | Устранение уязвимостей в соответствии с оценками рисков. | Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.16 | Защита конфиденциальности неактивной контролируемой несекретной информации | Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита системы и средств передачи данных | 3.13.8 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Целостность системы и данных | 3.14.1 | Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Целостность системы и данных | 3.14.1 | Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Целостность системы и данных | 3.14.2 | Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | 3.14.2 | Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Целостность системы и данных | 3.14.2 | Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Целостность системы и данных | 3.14.4 | Обновление механизмов защиты от вредоносного кода при доступности новых выпусков. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | 3.14.4 | Обновление механизмов защиты от вредоносного кода при доступности новых выпусков. | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Целостность системы и данных | 3.14.4 | Обновление механизмов защиты от вредоносного кода при доступности новых выпусков. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Целостность системы и данных | 3.14.5 | Периодические проверки организационных систем и проверки файлов из внешних источников в режиме реального времени выполняются при скачивании, открытии или выполнении. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| Целостность системы и данных | 3.14.5 | Периодические проверки организационных систем и проверки файлов из внешних источников в режиме реального времени выполняются при скачивании, открытии или выполнении. | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| Целостность системы и данных | 3.14.5 | Периодические проверки организационных систем и проверки файлов из внешних источников в режиме реального времени выполняются при скачивании, открытии или выполнении. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Целостность системы и данных | 3.14.6 | Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Целостность системы и данных | 3.14.7 | Выявление незаконного использования систем организации. | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Аудит и система отчетности | 3.3.1 | Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Аудит и система отчетности | 3.3.2 | Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | 2.1.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | 2.1.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | 3.1.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | 3.5.10 | Хранение и передача только криптографически защищенных паролей | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | 3.1.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| Идентификация и аутентификация | 3.5.2 | Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | 3.5.4 | Используйте механизмы проверки подлинности, устойчивые к воспроизведениям, для доступа к привилегированным и не привилегированным учетным записям. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | 3.0.0 |
| Идентификация и аутентификация | 3.5.7 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | 3.5.7 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | 3.5.7 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Аудит компьютеров Windows без включенного параметра сложности пароля | 2.0.0 |
| Идентификация и аутентификация | 3.5.7 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | 2.1.0 |
| Идентификация и аутентификация | 3.5.7 | Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Идентификация и аутентификация | 3.5.8 | Запрет на повторное использование пароля в указанном числе поколений | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| Идентификация и аутентификация | 3.5.8 | Запрет на повторное использование пароля в указанном числе поколений | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| Идентификация и аутентификация | 3.5.8 | Запрет на повторное использование пароля в указанном числе поколений | Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | 2.1.0 |
| Идентификация и аутентификация | 3.5.8 | Запрет на повторное использование пароля в указанном числе поколений | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| Защита мультимедиа | 3.8.9 | Защита конфиденциальности CUI резервного копирования в местах хранения. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
NIST SP 800-53, ред. 4
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. См. дополнительные сведения о стандарте NIST SP 800-53, ред. 4.
NIST SP 800-53, ред. 5
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.
Тема облака NL BIO
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| C.04.3 Technical управление уязвимостями — временная шкала | C.04.3 | Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| C.04.3 Technical управление уязвимостями — временная шкала | C.04.3 | Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| C.04.6 Technical управление уязвимостями — временная шкала | C.04.6 | Технические недостатки можно устранить, своевременно выполняя управление исправлениями. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| C.04.6 Technical управление уязвимостями — временная шкала | C.04.6 | Технические недостатки можно устранить, своевременно выполняя управление исправлениями. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| C.04.8 Technical управление уязвимостями — оценено | C.04.8 | Отчеты оценки содержат предложения по улучшению и обмениваются данными с руководителями и владельцами. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Службы непрерывности бизнес-процессов U.03.1 — избыточность | U.03.1 | Согласованная непрерывность гарантируется достаточно логическими или физически несколькими системными функциями. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Службы непрерывности бизнес-процессов U.03.1 — избыточность | U.03.1 | Согласованная непрерывность гарантируется достаточно логическими или физически несколькими системными функциями. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| Службы непрерывности бизнес-процессов U.03.2 — требования к непрерывности | U.03.2 | Требования к непрерывности облачных служб, согласованные с CSC, обеспечиваются системной архитектурой. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Службы непрерывности бизнес-процессов U.03.2 — требования к непрерывности | U.03.2 | Требования к непрерывности облачных служб, согласованные с CSC, обеспечиваются системной архитектурой. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| U.04.1 Data and Cloud Service Recovery — функция восстановления | U.04.1 | Данные и облачные службы восстанавливаются в течение согласованного периода и максимальной потери данных и становятся доступными для CSC. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| U.04.2 Data and Cloud Service Recovery — функция восстановления | U.04.2 | Отслеживается непрерывный процесс восстановления защиты данных. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| U.04.3 Data and Cloud Service Recovery — протестировано | U.04.3 | Функционирование функций восстановления периодически проверяется и результаты совместно используются для CSC. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Защита данных U.05.1 — криптографические меры | U.05.1 | Транспорт данных защищается с помощью криптографии, где управление ключами выполняется самим CSC, если это возможно. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | 6.0.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | 5.1.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | 4.0.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | 3.1.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | 4.0.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | 2.0.0-preview |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | 1.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | 3.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | 1.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Ресурсы для доступа к диску должны использовать частную ссылку | 1.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования, по крайней мере, субъекты в соответствии с BIO были разработаны. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования, по крайней мере, субъекты в соответствии с BIO были разработаны. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | Если сертификаты PKIoverheid используют требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | Если сертификаты PKIoverheid используют требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | 6.0.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | 5.1.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | 4.0.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | 3.1.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | 4.0.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | 2.0.0-preview |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | 1.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | 3.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | 1.0.0 |
| Интерфейсы U.12.1 — сетевые подключения | U.12.1 | В точках подключения с внешними или ненадежными зонами меры принимаются против атак. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Интерфейсы U.12.1 — сетевые подключения | U.12.1 | В точках подключения с внешними или ненадежными зонами меры принимаются против атак. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Интерфейсы U.12.2 — сетевые подключения | U.12.2 | Сетевые компоненты являются такими, что сетевые подключения между доверенными и ненадежными сетями ограничены. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Интерфейсы U.12.2 — сетевые подключения | U.12.2 | Сетевые компоненты являются такими, что сетевые подключения между доверенными и ненадежными сетями ограничены. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Dependency Agent должен быть включен для перечисленных образов виртуальных машин | 2.1.0 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | 2.1.0 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Ведение журнала и мониторинг u.15.3 — события регистрируются | U.15.3 | CSP поддерживает список всех ресурсов, критически важных для ведения журнала и мониторинга, и проверяет этот список. | Dependency Agent должен быть включен для перечисленных образов виртуальных машин | 2.1.0 |
| Ведение журнала и мониторинг u.15.3 — события регистрируются | U.15.3 | CSP поддерживает список всех ресурсов, критически важных для ведения журнала и мониторинга, и проверяет этот список. | Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | 2.1.0 |
| Архитектура с несколькими клиентами U.17.1 — зашифрована | U.17.1 | Данные CSC для транспорта и неактивных данных шифруются. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| Архитектура с несколькими клиентами U.17.1 — зашифрована | U.17.1 | Данные CSC для транспорта и неактивных данных шифруются. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
PCI DSS 3.2.1
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в документе PCI DSS 3.2.1. Дополнительные сведения об этом стандарте соответствия см. в документе с описанием PCI DSS 3.2.1.
PCI DSS версии 4.0
Сведения о том, как доступные Политика Azure встроенные для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для PCI DSS версии 4.0. Дополнительные сведения об этом стандарте соответствия см. в разделе PCI DSS версии 4.0.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Требование 01. Установка и обслуживание элементов управления безопасностью сети | 1.3.2 | Сетевой доступ к среде данных заполнителя карт и из нее ограничен | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Требование 01. Установка и обслуживание элементов управления безопасностью сети | 1.4.2 | Управление сетевыми подключениями между доверенными и ненадежными сетями | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.2.2 | Журналы аудита реализуются для поддержки обнаружения аномалий и подозрительных действий, а также судебно-судебного анализа событий | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.3.3 | Журналы аудита защищены от уничтожения и несанкционированных изменений | Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | 1.0.0 |
| Требование 11. Регулярное тестирование безопасности систем и сетей | 11.3.1 | Внешние и внутренние уязвимости регулярно определяются, приоритеты и устраняются | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.1 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.2 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 05. Защита всех систем и сетей от вредоносного программного обеспечения | 5.2.3 | Вредоносное программное обеспечение (вредоносная программа) предотвращается или обнаруживается и устранена | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.3.3 | Уязвимости безопасности определяются и устраняются | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.4.1 | Общедоступные веб-приложения защищены от атак | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Требование 08. Определение пользователей и проверка подлинности доступа к системным компонентам | 8.3.6 | Надежная проверка подлинности для пользователей и администраторов устанавливается и управляется | Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | 2.1.0 |
| Требование 08. Определение пользователей и проверка подлинности доступа к системным компонентам | 8.3.6 | Надежная проверка подлинности для пользователей и администраторов устанавливается и управляется | Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | 2.1.0 |
| Требование 08. Определение пользователей и проверка подлинности доступа к системным компонентам | 8.3.6 | Надежная проверка подлинности для пользователей и администраторов устанавливается и управляется | Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | 2.1.0 |
Резервный банк Индии — ИТ-структура для NBFC
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.
Резервная банк Индии ИТ-платформа для банков версии 2016
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — RBI ITF Banks версии 2016. Дополнительные сведения об этом стандарте соответствия см. в статье RBI ITF Banks версии 2016 (PDF).
RMIT Малайзия
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в статье RMIT Malaysia.
Испания ENS
Чтобы узнать, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. Политика Azure сведения о соответствии нормативным требованиям для Испании ENS. Дополнительные сведения об этом стандарте соответствия см. в CCN-STIC 884.
SWIFT CSP-CSCF версии 2021
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в статье SWIFT CSP CSCF версии 2021.
SWIFT CSP-CSCF версии 2022
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2022. Дополнительные сведения об этом стандарте соответствия см. в разделе SWIFT CSP CSCF версии 2022.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.2 | Ограничить и контролировать выделение и использование учетных записей операционной системы уровня администратора. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.3 | Защитите платформу виртуализации и виртуальные машины , на которых размещаются компоненты, связанные с SWIFT, на том же уровне, что и физические системы. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.4 | Управление и защита доступа к Интернету с компьютеров и систем оператора в безопасной зоне. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.4 | Управление и защита доступа к Интернету с компьютеров и систем оператора в безопасной зоне. | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5A | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5A | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5A | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5A | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5A | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.1 | Обеспечение конфиденциальности, целостности и подлинности потоков данных приложения между локальными компонентами, связанными с SWIFT. | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.1 | Обеспечение конфиденциальности, целостности и подлинности потоков данных приложения между локальными компонентами, связанными с SWIFT. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.2 | Свести к минимуму наличие известных технических уязвимостей на компьютерах операторов и в локальной инфраструктуре SWIFT путем обеспечения поддержки поставщиков, применения обязательных обновлений программного обеспечения и применения своевременных обновлений безопасности, согласованных с оцененным риском. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.2 | Свести к минимуму наличие известных технических уязвимостей на компьютерах операторов и в локальной инфраструктуре SWIFT путем обеспечения поддержки поставщиков, применения обязательных обновлений программного обеспечения и применения своевременных обновлений безопасности, согласованных с оцененным риском. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.2 | Свести к минимуму наличие известных технических уязвимостей на компьютерах операторов и в локальной инфраструктуре SWIFT путем обеспечения поддержки поставщиков, применения обязательных обновлений программного обеспечения и применения своевременных обновлений безопасности, согласованных с оцененным риском. | Аудит виртуальных машин Windows с отложенной перезагрузкой | 2.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.2 | Свести к минимуму наличие известных технических уязвимостей на компьютерах операторов и в локальной инфраструктуре SWIFT путем обеспечения поддержки поставщиков, применения обязательных обновлений программного обеспечения и применения своевременных обновлений безопасности, согласованных с оцененным риском. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | 3.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | 2.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.3 | Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты. | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.4A | Безопасность Потока данных операционных отделов организации | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.4A | Безопасность Потока данных операционных отделов организации | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.6 | Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.6 | Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.6 | Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.6 | Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг. | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.6 | Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг. | Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" | 3.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.7 | Определите известные уязвимости в локальной среде SWIFT, реализуя обычный процесс сканирования уязвимостей и действуя по результатам. | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| 3. Физически безопасная среда | 3.1 | Предотвращение неавторизованного физического доступа к конфиденциальному оборудованию, рабочим средам, сайтам размещения и хранилищу. | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | 3.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Linux с учетными записями без паролей | 3.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | 2.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | 2.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | 2.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Windows без включенного параметра сложности пароля | 2.0.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | 2.1.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | 3.2.0 |
| 4. Предотвращение компрометации учетных данных | 4.1 | Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 5. Управление удостоверениями и правами разделения | 5.1 | Применение принципов безопасности для доступа, минимальных привилегий и разделения обязанностей для учетных записей операторов. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 5. Управление удостоверениями и правами разделения | 5.1 | Применение принципов безопасности для доступа, минимальных привилегий и разделения обязанностей для учетных записей операторов. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 5. Управление удостоверениями и правами разделения | 5.1 | Применение принципов безопасности для доступа, минимальных привилегий и разделения обязанностей для учетных записей операторов. | Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | 2.0.0 |
| 5. Управление удостоверениями и правами разделения | 5.1 | Применение принципов безопасности для доступа, минимальных привилегий и разделения обязанностей для учетных записей операторов. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 5. Управление удостоверениями и правами разделения | 5.2 | Убедитесь, что правильное управление, отслеживание и использование подключенной и отключенной аппаратной проверки подлинности или личных маркеров (когда используются маркеры). | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| 5. Управление удостоверениями и правами разделения | 5.4 | Защитите физически и логически репозиторий записанных паролей. | Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | 2.0.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.1 | Убедитесь, что локальная инфраструктура SWIFT защищена от вредоносных программ и действует по результатам. | В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | 1.0.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.1 | Убедитесь, что локальная инфраструктура SWIFT защищена от вредоносных программ и действует по результатам. | Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | 1.1.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | 4.1.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | 4.1.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Аудит виртуальных машин без аварийного восстановления | 1.0.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | 1.3.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.5A | Обнаружение и аномальное сетевое действие в локальной или удаленной среде SWIFT. | [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6.5A | Обнаружение и аномальное сетевое действие в локальной или удаленной среде SWIFT. | [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | 1.0.2-preview |
Системные и организационные элементы управления (SOC) 2
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для системных и организационных элементов управления (SOC) 2. Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2.
| Domain | Идентификатор элемента управления | Название элемента управления | Policy (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Дополнительные критерии для доступности | A1.2 | Защита окружающей среды, программное обеспечение, процессы резервного копирования данных и инфраструктура восстановления | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
| Оценка риска | CC3.2 | Принцип COSO 7 | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | При аутентификации на компьютерах Linux должны использоваться ключи SSH | 3.2.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | На виртуальной машине должна быть отключена IP-переадресация | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | 3.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Порты управления на виртуальных машинах должны быть закрыты | 3.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | 3.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | 4.1.1 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | 6.0.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | 5.1.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | 4.0.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | 3.1.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | 4.0.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | 2.0.0-preview |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | 2.1.0 |
| Системные операции | CC7.1 | Обнаружение и мониторинг новых уязвимостей | Необходимо включить решение для оценки уязвимостей на виртуальных машинах | 3.0.0 |
| Системные операции | CC7.2 | Мониторинг системных компонентов для аномального поведения | На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | 2.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | 6.0.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | 5.1.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | 4.0.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | 3.1.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | 4.0.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | 2.0.0-preview |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Аудит виртуальных машин, которые не используют управляемые диски | 1.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | 1.0.3 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | 2.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Должны быть установлены только утвержденные расширения виртуальных машин | 1.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | 1.0.1 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | 2.1.0 |
| Дополнительные критерии для целостности обработки | PI1.5 | Хранение входных и выходных данных полностью, точно и своевременно | Необходимо включить Azure Backup для Виртуальных машин | 3.0.0 |
UK OFFICIAL и UK NHS
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — UK OFFICIAL и UK NHS. Дополнительные сведения об этом стандарте соответствия см. в статье UK OFFICIAL.
Дальнейшие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.