Information om CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government) inbyggt initiativ för regelefterlevnad
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government). Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark 1.1.0. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.
Följande mappningar är till CIS Microsoft Azure Foundations Benchmark 1.1.0-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen CIS Microsoft Azure Foundations Benchmark v1.1.0 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
1 Identitets- och åtkomsthantering
Kontrollera att multifaktorautentisering är aktiverat för alla privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att multifaktorautentisering är aktiverat för alla icke-privilegierade användare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att det inte finns några gästanvändare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
2 Security Center
Se till att standardprisnivån är vald
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
Se till att ASC-standardprincipinställningen "Övervaka JIT-nätverksåtkomst" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.12 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att ASC-standardprincipinställningen "Övervaka vitlistning av anpassningsbara program" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att ASC:s standardprincipinställning "Övervaka SQL-granskning" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.14 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att ASC-standardprincipinställningen "Övervaka SQL-kryptering" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.15 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att "e-post för säkerhetskontakter" har angetts
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.16 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att "Skicka e-postaviseringar för aviseringar med hög allvarlighetsgrad" är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.18 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att "Skicka e-post även till prenumerationsägare" är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.19 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
Se till att "Automatisk etablering av övervakningsagenten" är inställd på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration | För att övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. | AuditIfNotExists, inaktiverad | 1.0.1 |
Se till att ASC-standardprincipinställningen "Övervaka system Uppdateringar" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att ASC:s standardprincipinställning "Övervaka säkerhetsproblem i operativsystemet" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Se till att ASC-standardprincipinställningen "Övervaka slutpunktsskydd" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Se till att ASC-standardprincipinställningen "Övervaka diskkryptering" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Se till att ASC-standardprincipinställningen "Aktivera nästa generations brandvägg(NGFW) övervakning" inte är "Inaktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
3 lagringskonton
Kontrollera att "Säker överföring krävs" är inställd på "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på att neka
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Kontrollera att "Betrodda Microsoft-tjänster" är aktiverat för åtkomst till lagringskonto
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
4 Databastjänster
Kontrollera att "Granskning" är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
Kontrollera att SQL-serverns TDE-skydd är krypterat med BYOK (Använd din egen nyckel)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för MySQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.11 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Kontrollera att serverparametern "log_checkpoints" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.12 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.13 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Kontrollera att serverparametern "log_connections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.14 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar | Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att serverparametern "log_disconnections" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.15 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Frånkopplingar ska loggas för PostgreSQL-databasservrar. | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att serverparametern "connection_throttling" är inställd på "ON" för PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.17 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anslut begränsning ska aktiveras för PostgreSQL-databasservrar | Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att Anslut begränsning aktiverat. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord. | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att "AuditActionGroups" i granskningsprincipen för en SQL-server har angetts korrekt
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| SQL-granskningsinställningar bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter | Egenskapen AuditActionsAndGroups bör innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att kvarhållningen av granskning är "större än 90 dagar"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera att "Advanced Data Security" på en SQL-server är inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
Kontrollera att Azure Active Directory-administratören är konfigurerad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att "Datakryptering" är inställt på "På" i en SQL Database
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
5 Loggning och övervakning
Kontrollera att det finns en loggprofil
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att kvarhållning av aktivitetsloggar har angetts till 365 dagar eller senare
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att granskningsprofilen registrerar alla aktiviteter
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att loggprofilen registrerar aktivitetsloggar för alla regioner, inklusive globala
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
Kontrollera att lagringskontot som innehåller containern med aktivitetsloggar är krypterat med BYOK (Använd din egen nyckel)
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK | Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att loggning för Azure KeyVault är "Aktiverad"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa principtilldelning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för Ta bort nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för regeln Skapa eller uppdatera nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggaviseringen finns för regeln Ta bort nätverkssäkerhetsgrupp
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera säkerhetslösningen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för ta bort säkerhetslösning
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.7 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera eller ta bort SQL Server-brandväggsregeln
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.8 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kontrollera att aktivitetsloggavisering finns för uppdateringssäkerhetsprincip
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.9 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
6 Nätverk
Kontrollera att Network Watcher är "Aktiverat"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
7 virtuella datorer
Kontrollera att OS-disken är krypterad
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Kontrollera att "Datadiskar" är krypterade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Se till att endast godkända tillägg är installerade
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
Se till att de senaste OS-korrigeringarna för alla virtuella datorer tillämpas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att slutpunktsskyddet för alla virtuella datorer är installerat
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.6 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
8 Andra säkerhetsöverväganden
Kontrollera att nyckelvalvet kan återställas
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
9 AppService
Kontrollera att App Service-autentisering har angetts i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.1 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar ska ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar bör ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Se till att HTTP-versionen är den senaste, om den används för att köra webbappen
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.10 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
Se till att webbappen omdirigerar all HTTP-trafik till HTTPS i Azure App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.2 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
Kontrollera att webbappen använder den senaste versionen av TLS-kryptering
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.3 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Kontrollera att webbappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På"
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.4 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
Se till att Registrera med Azure Active Directory är aktiverat i App Service
ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.5 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.