Information om cmmc-nivå 3 (Azure Government) inbyggt initiativ för regelefterlevnad
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller på CMMC-nivå 3 (Azure Government). Mer information om den här efterlevnadsstandarden finns i CMMC-nivå 3. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.
Följande mappningar är till CMMC Level 3-kontrollerna . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen CMMC Level 3 Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Åtkomstkontroll
Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem).
ID: CMMC L3 AC.1.001 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra.
ID: CMMC L3 AC.1.002 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Verifiera och kontrollera/begränsa anslutningar till och användning av externa informationssystem.
ID: CMMC L3 AC.1.003 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton.
ID: CMMC L3 AC.2.007 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervaka och kontrollera fjärråtkomstsessioner.
ID: CMMC L3 AC.2.013 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Kontrollera flödet av CUI i enlighet med godkända auktoriseringar.
ID: CMMC L3 AC.2.016 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi.
ID: CMMC L3 AC.3.017 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Förhindra att icke-privilegierade användare kör privilegierade funktioner och avbildar körningen av sådana funktioner i granskningsloggar.
ID: CMMC L3 AC.3.018 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information.
ID: CMMC L3 AC.3.021 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Granskning och ansvarsskyldighet
Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder.
ID: CMMC L3 AU.2.041 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet.
ID: CMMC L3 AU.2.042 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Avisering i händelse av ett fel i granskningsloggningsprocessen.
ID: CMMC L3 AU.3.046 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser.
ID: CMMC L3 AU.3.048 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Virtuella datorer bör ha Log Analytics-tillägget installerat | Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1 |
Skydda granskningsinformation och verktyg för granskningsloggning från obehörig åtkomst, ändring och borttagning.
ID: CMMC L3 AU.3.049 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
Säkerhetsbedömning
Utvärdera regelbundet säkerhetskontrollerna i organisationens system för att avgöra om kontrollerna är effektiva i deras program.
ID: CMMC L3 CA.2.158 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervaka säkerhetskontrollerna kontinuerligt för att säkerställa att kontrollerna fortsätter att vara effektiva.
ID: CMMC L3 CA.3.161 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Konfigurationshantering
Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling.
ID: CMMC L3 CM.2.061 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd principen om minsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner.
ID: CMMC L3 CM.2.062 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
Kontrollera och övervaka användarinstallerad programvara.
ID: CMMC L3 CM.2.063 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem.
ID: CMMC L3 CM.2.064 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Spåra, granska, godkänna eller ogilla och logga ändringar i organisationssystem.
ID: CMMC L3 CM.2.065 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster.
ID: CMMC L3 CM.3.068 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras | Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Tillämpa principen neka efter undantag (svartlistning) för att förhindra användning av otillåten programvara eller neka alla, tillåt-efter-undantagsprincip (vitlistning) för att tillåta körning av auktoriserad programvara.
ID: CMMC L3 CM.3.069 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
Identifiering och autentisering
Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem.
ID: CMMC L3 IA.1.077 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Använd multifaktorautentisering för lokal åtkomst och nätverksåtkomst till privilegierade konton och för nätverksåtkomst till icke-privilegierade konton.
ID: CMMC L3 IA.3.083 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton.
ID: CMMC L3 IA.3.084 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Incidentsvar
Upprätta en funktion för hantering av driftincidenter för organisationssystem som omfattar förberedelse, identifiering, analys, inneslutning, återställning och användarsvarsaktiviteter.
ID: CMMC L3 IR.2.092 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Identifiera och rapportera händelser.
ID: CMMC L3 IR.2.093 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Återställning
Utför och testa regelbundet säkerhetskopieringar av data.
ID: CMMC L3 RE.2.137 Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Utför regelbundet fullständiga, omfattande och motståndskraftiga datasäkerhetskopior som organisatoriskt definierade.
ID: CMMC L3 RE.3.139 Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Riskbedömning
Utvärdera regelbundet risken för organisationens verksamhet (inklusive uppdrag, funktioner, bild eller rykte), organisationstillgångar och individer, till följd av driften av organisationssystem och tillhörande bearbetning, lagring eller överföring av CUI.
ID: CMMC L3 RM.2.141 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras.
ID: CMMC L3 RM.2.142 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Åtgärda sårbarheter i enlighet med riskbedömningar.
ID: CMMC L3 RM.2.143 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas | Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Riskhantering
Utför regelbundet riskbedömningar för att identifiera och prioritera risker enligt de definierade riskkategorierna, riskkällorna och kriterierna för riskmätning.
ID: CMMC L3 RM.3.144 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Standardprisnivån i Security Center bör väljas | Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, tillhandahålla hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center | Granskning, inaktiverad | 1.1.0 |
System- och kommunikationsskydd
Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem.
ID: CMMC L3 SC.1.175 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk.
ID: CMMC L3 SC.1.176 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd krypterade sessioner för hantering av nätverksenheter.
ID: CMMC L3 SC.2.179 Ägarskap: Kund
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI.
ID: CMMC L3 SC.3.177 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel | Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kundhanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321. | Granska, neka, inaktiverad | 2.1.0 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem.
ID: CMMC L3 SC.3.180 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Separera användarfunktioner från systemhanteringsfunktioner.
ID: CMMC L3 SC.3.181 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag).
ID: CMMC L3 SC.3.183 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder.
ID: CMMC L3 SC.3.185 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem.
ID: CMMC L3 SC.3.187 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
Skydda autenticiteten hos kommunikationssessioner.
ID: CMMC L3 SC.3.190 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Skydda konfidentialiteten för CUI i vila.
ID: CMMC L3 SC.3.191 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
System- och informationsintegritet
Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid.
ID: CMMC L3 SI.1.210 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
Ge skydd mot skadlig kod på lämpliga platser i organisationens informationssystem.
ID: CMMC L3 SI.1.211 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga.
ID: CMMC L3 SI.1.212 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utföra regelbundna genomsökningar av informationssystemet och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs.
ID: CMMC L3 SI.1.213 Ägarskap: Delad
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker.
ID: CMMC L3 SI.2.216 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp | Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. | Granskning, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Lagring (klassisk) ska vara aktiverat | Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. | Granska, neka, inaktiverad | 1.0.0 |
| Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service | Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbprogram för Azure Front Door Service. | Granska, neka, inaktiverad | 1.0.0 |
Identifiera obehörig användning av organisationssystem.
ID: CMMC L3 SI.2.217 Ägarskap: Delat
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivitetsloggen ska behållas i minst ett år | Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" | Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Monitor bör samla in aktivitetsloggar från alla regioner | Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen | Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. | AuditIfNotExists, inaktiverad | 1.0.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.