Information om det inbyggda initiativet FedRAMP High Regulatory Compliance
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i FedRAMP High. Mer information om den här efterlevnadsstandarden finns i FedRAMP High. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.
Följande mappningar är till FedRAMP High-kontrollerna . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen FedRAMP High Regulatory Compliance.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Åtkomstkontroll
Principer och procedurer för åtkomstkontroll
ID: FedRAMP High AC-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla principer och procedurer för åtkomstkontroll | CMA_0144 – Utveckla principer och procedurer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Styra principer och procedurer | CMA_0292 – Styra principer och procedurer | Manuell, inaktiverad | 1.1.0 |
| Granska principer och procedurer för åtkomstkontroll | CMA_0457 – Granska principer och procedurer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Kontohantering
ID: FedRAMP High AC-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tilldela kontoansvariga | CMA_0015 – Tilldela kontoansvariga | Manuell, inaktiverad | 1.1.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Definiera och framtvinga villkor för delade konton och gruppkonton | CMA_0117 – Definiera och framtvinga villkor för delade konton och gruppkonton | Manuell, inaktiverad | 1.1.0 |
| Definiera kontotyper för informationssystem | CMA_0121 – Definiera kontotyper för informationssystem | Manuell, inaktiverad | 1.1.0 |
| Behörigheter för dokumentåtkomst | CMA_0186 – Behörigheter för dokumentåtkomst | Manuell, inaktiverad | 1.1.0 |
| Upprätta villkor för rollmedlemskap | CMA_0269 – Upprätta villkor för rollmedlemskap | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Övervaka kontoaktivitet | CMA_0377 – Övervaka kontoaktivitet | Manuell, inaktiverad | 1.1.0 |
| Meddela kontoansvariga om kundkontrollerade konton | CMA_C1009 – Meddela kontoansvariga om kundkontrollerade konton | Manuell, inaktiverad | 1.1.0 |
| Återutge autentiserare för ändrade grupper och konton | CMA_0426 – Återutge autentiserare för ändrade grupper och konton | Manuell, inaktiverad | 1.1.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska användarkonton | CMA_0480 – Granska användarkonton | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Automatiserad systemkontohantering
ID: FedRAMP High AC-2 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Inaktivera inaktiva konton
ID: FedRAMP High AC-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Inaktivera autentiserare vid avslutning | CMA_0169 – Inaktivera autentisering vid avslutning | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
Automatiserade granskningsåtgärder
ID: FedRAMP High AC-2 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Automatisera kontohantering | CMA_0026 – Automatisera kontohantering | Manuell, inaktiverad | 1.1.0 |
| Hantera system- och administratörskonton | CMA_0368 – Hantera system- och administratörskonton | Manuell, inaktiverad | 1.1.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Meddela när kontot inte behövs | CMA_0383 – Meddela när kontot inte behövs | Manuell, inaktiverad | 1.1.0 |
Inaktivitetsutloggning
ID: FedRAMP High AC-2 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera och framtvinga inaktivitetsloggprincip | CMA_C1017 – Definiera och tillämpa inaktivitetsloggprincip | Manuell, inaktiverad | 1.1.0 |
Rollbaserade scheman
ID: FedRAMP High AC-2 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Övervaka kontoaktivitet | CMA_0377 – Övervaka kontoaktivitet | Manuell, inaktiverad | 1.1.0 |
| Övervaka privilegierad rolltilldelning | CMA_0378 – Övervaka privilegierad rolltilldelning | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| Använda privilegierad identitetshantering | CMA_0533 – Använda privilegierad identitetshantering | Manuell, inaktiverad | 1.1.0 |
Begränsningar för användning av delade grupper/konton
ID: FedRAMP High AC-2 (9) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera och framtvinga villkor för delade konton och gruppkonton | CMA_0117 – Definiera och framtvinga villkor för delade konton och gruppkonton | Manuell, inaktiverad | 1.1.0 |
Uppsägning av autentiseringsuppgifter för delat konto/gruppkonto
ID: FedRAMP High AC-2 (10) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Avsluta autentiseringsuppgifter för kundkontrollerat konto | CMA_C1022 – Avsluta autentiseringsuppgifter för kundkontrollerat konto | Manuell, inaktiverad | 1.1.0 |
Användningsvillkor
ID: FedRAMP High AC-2 (11) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga lämplig användning av alla konton | CMA_C1023 – Framtvinga lämplig användning av alla konton | Manuell, inaktiverad | 1.1.0 |
Kontoövervakning/atypisk användning
ID: FedRAMP High AC-2 (12) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Övervaka kontoaktivitet | CMA_0377 – Övervaka kontoaktivitet | Manuell, inaktiverad | 1.1.0 |
| Rapportera atypiskt beteende för användarkonton | CMA_C1025 – Rapportera atypiskt beteende för användarkonton | Manuell, inaktiverad | 1.1.0 |
Inaktivera konton för högriskpersoner
ID: FedRAMP High AC-2 (13) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Inaktivera användarkonton som utgör en betydande risk | CMA_C1026 – Inaktivera användarkonton som utgör en betydande risk | Manuell, inaktiverad | 1.1.0 |
Åtkomsttillämpning
ID: FedRAMP High AC-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
| Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
| Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering | Granska, neka, inaktiverad | 1.0.0 |
Tillämpning av informationsflöde
ID: FedRAMP High AC-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.1-inaktuell |
| [Inaktuell]: Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.1-inaktuell |
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.1 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
Filter för säkerhetsprinciper
ID: FedRAMP High AC-4 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Informationsflödeskontroll med hjälp av säkerhetsprincipfilter | CMA_C1029 – Informationsflödeskontroll med hjälp av säkerhetsprincipfilter | Manuell, inaktiverad | 1.1.0 |
Fysisk/logisk uppdelning av informationsflöden
ID: FedRAMP High AC-4 (21) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
| Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
| Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
Ansvarsfördelning
ID: FedRAMP High AC-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera åtkomstauktoriseringar för att stödja uppdelning av uppgifter | CMA_0116 – Definiera åtkomstauktoriseringar för att stödja uppdelning av uppgifter | Manuell, inaktiverad | 1.1.0 |
| Dokumentavgränsning av uppgifter | CMA_0204 – Dokumentavgränsning av uppgifter | Manuell, inaktiverad | 1.1.0 |
| Enskilda personers separata uppgifter | CMA_0492 – Enskilda personers separata uppgifter | Manuell, inaktiverad | 1.1.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Lägsta behörighet
ID: FedRAMP High AC-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
| Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
Auktorisera åtkomst till säkerhetsfunktioner
ID: FedRAMP High AC-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
| Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
| Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Privilegierade konton
ID: FedRAMP High AC-6 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
Granska användarbehörigheter
ID: FedRAMP High AC-6 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Tilldela om eller ta bort användarbehörigheter efter behov | CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov | Manuell, inaktiverad | 1.1.0 |
| Granska användarbehörigheter | CMA_C1039 – Granska användarbehörigheter | Manuell, inaktiverad | 1.1.0 |
Behörighetsnivåer för kodkörning
ID: FedRAMP High AC-6 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga behörigheter för programkörning | CMA_C1041 – Framtvinga behörigheter för programkörning | Manuell, inaktiverad | 1.1.0 |
Granskning av användning av privilegierade funktioner
ID: FedRAMP High AC-6 (9) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Utföra en fullständig textanalys av loggade privilegierade kommandon | CMA_0056 – Utföra en fullständig textanalys av loggade privilegierade kommandon | Manuell, inaktiverad | 1.1.0 |
| Övervaka privilegierad rolltilldelning | CMA_0378 – Övervaka privilegierad rolltilldelning | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
| Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
| Använda privilegierad identitetshantering | CMA_0533 – Använda privilegierad identitetshantering | Manuell, inaktiverad | 1.1.0 |
Misslyckade inloggningsförsök
ID: FedRAMP High AC-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga en gräns för misslyckade inloggningsförsök i följd | CMA_C1044 – Framtvinga en gräns för misslyckade inloggningsförsök i följd | Manuell, inaktiverad | 1.1.0 |
Samtidig sessionskontroll
ID: FedRAMP High AC-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera och framtvinga gränsen för samtidiga sessioner | CMA_C1050 – Definiera och framtvinga gränsen för samtidiga sessioner | Manuell, inaktiverad | 1.1.0 |
Avslutning av session
ID: FedRAMP High AC-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Avsluta användarsession automatiskt | CMA_C1054 – Avsluta användarsessionen automatiskt | Manuell, inaktiverad | 1.1.0 |
Användarinitierade utloggningar/meddelandeskärmar
ID: FedRAMP High AC-12 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Visa ett explicit utloggningsmeddelande | CMA_C1056 – Visa ett explicit utloggningsmeddelande | Manuell, inaktiverad | 1.1.0 |
| Ange utloggningsfunktionen | CMA_C1055 – Ange utloggningsfunktionen | Manuell, inaktiverad | 1.1.0 |
Tillåtna åtgärder utan identifiering eller autentisering
ID: FedRAMP High AC-14 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera åtgärder som tillåts utan autentisering | CMA_0295 – Identifiera åtgärder som tillåts utan autentisering | Manuell, inaktiverad | 1.1.0 |
Fjärråtkomst
ID: FedRAMP High AC-17 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.1-inaktuell |
| [Inaktuell]: Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.1-inaktuell |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Spring Cloud bör använda nätverksinmatning | Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. | Granska, inaktiverad, Neka | 1.2.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
Automatiserad övervakning/kontroll
ID: FedRAMP High AC-17 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.1-inaktuell |
| [Inaktuell]: Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.1-inaktuell |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Spring Cloud bör använda nätverksinmatning | Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. | Granska, inaktiverad, Neka | 1.2.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| Övervaka åtkomst i hela organisationen | CMA_0376 – Övervaka åtkomst i hela organisationen | Manuell, inaktiverad | 1.1.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
Skydd av konfidentialitet/integritet med kryptering
ID: FedRAMP High AC-17 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Meddela användare om systeminloggning eller åtkomst | CMA_0382 – Meddela användare om systeminloggning eller åtkomst | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
Hanterade åtkomstkontrollpunkter
ID: FedRAMP High AC-17 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dirigera trafik via hanterade nätverksåtkomstpunkter | CMA_0484 – Dirigera trafik via hanterade nätverksåtkomstpunkter | Manuell, inaktiverad | 1.1.0 |
Privilegierade kommandon/åtkomst
ID: FedRAMP High AC-17 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Auktorisera fjärråtkomst till privilegierade kommandon | CMA_C1064 – Auktorisera fjärråtkomst till privilegierade kommandon | Manuell, inaktiverad | 1.1.0 |
| Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
Koppla från/inaktivera åtkomst
ID: FedRAMP High AC-17 (9) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ge möjlighet att koppla från eller inaktivera fjärråtkomst | CMA_C1066 – Ge möjlighet att koppla från eller inaktivera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
Trådlös åtkomst
ID: FedRAMP High AC-18 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera och implementera riktlinjer för trådlös åtkomst | CMA_0190 – Dokumentera och implementera riktlinjer för trådlös åtkomst | Manuell, inaktiverad | 1.1.0 |
| Skydda trådlös åtkomst | CMA_0411 – Skydda trådlös åtkomst | Manuell, inaktiverad | 1.1.0 |
Autentisering och kryptering
ID: FedRAMP High AC-18 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera och implementera riktlinjer för trådlös åtkomst | CMA_0190 – Dokumentera och implementera riktlinjer för trådlös åtkomst | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Skydda trådlös åtkomst | CMA_0411 – Skydda trådlös åtkomst | Manuell, inaktiverad | 1.1.0 |
Åtkomstkontroll för mobila enheter
ID: FedRAMP High AC-19 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera krav för mobila enheter | CMA_0122 – Definiera krav för mobila enheter | Manuell, inaktiverad | 1.1.0 |
Fullständig enhet/containerbaserad kryptering
ID: FedRAMP High AC-19 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera krav för mobila enheter | CMA_0122 – Definiera krav för mobila enheter | Manuell, inaktiverad | 1.1.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
Användning av externa informationssystem
ID: FedRAMP High AC-20 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta villkor för åtkomst till resurser | CMA_C1076 – Upprätta villkor för åtkomst till resurser | Manuell, inaktiverad | 1.1.0 |
| Upprätta villkor för bearbetning av resurser | CMA_C1077 – Upprätta villkor för bearbetning av resurser | Manuell, inaktiverad | 1.1.0 |
Gränser för auktoriserad användning
ID: FedRAMP High AC-20 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Verifiera säkerhetskontroller för externa informationssystem | CMA_0541 – Verifiera säkerhetskontroller för externa informationssystem | Manuell, inaktiverad | 1.1.0 |
Bärbara lagringsenheter
ID: FedRAMP High AC-20 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Kontrollera användningen av bärbara lagringsenheter | CMA_0083 – Styra användningen av bärbara lagringsenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Informationsdelning
ID: FedRAMP High AC-21 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera beslut om informationsdelning | CMA_0028 – Automatisera beslut om informationsdelning | Manuell, inaktiverad | 1.1.0 |
| Underlätta informationsdelning | CMA_0284 – Underlätta informationsdelning | Manuell, inaktiverad | 1.1.0 |
Offentligt tillgängligt innehåll
ID: FedRAMP High AC-22 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utse behörig personal att publicera offentligt tillgänglig information | CMA_C1083 – Utse behörig personal att publicera offentligt tillgänglig information | Manuell, inaktiverad | 1.1.0 |
| Granska innehåll innan du publicerar offentligt tillgänglig information | CMA_C1085 – Granska innehåll innan du publicerar offentligt tillgänglig information | Manuell, inaktiverad | 1.1.0 |
| Granska offentligt tillgängligt innehåll för icke-offentlig information | CMA_C1086 – Granska offentligt tillgängligt innehåll för icke-offentlig information | Manuell, inaktiverad | 1.1.0 |
| Utbilda personal om utlämnande av icke-offentlig information | CMA_C1084 – Utbilda personal om utlämnande av icke-offentlig information | Manuell, inaktiverad | 1.1.0 |
Medvetenhet och utbildning
Policy och procedurer för säkerhetsmedvetenhet och utbildning
ID: FedRAMP High AT-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera utbildningsaktiviteter för säkerhet och sekretess | CMA_0198 – Dokumentera utbildningsaktiviteter för säkerhet och sekretess | Manuell, inaktiverad | 1.1.0 |
| Uppdatera säkerhetsprinciper för information | CMA_0518 – Uppdatera säkerhetsprinciper för information | Manuell, inaktiverad | 1.1.0 |
Utbildning för säkerhetsmedvetenhet
ID: FedRAMP High AT-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet | CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla säkerhetsutbildning för nya användare | CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla uppdaterad utbildning för säkerhetsmedvetenhet | CMA_C1090 – Tillhandahålla uppdaterad utbildning för säkerhetsmedvetenhet | Manuell, inaktiverad | 1.1.0 |
Insiderhot
ID: FedRAMP High AT-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla utbildning i säkerhetsmedvetenhet för insiderhot | CMA_0417 – Tillhandahålla utbildning i säkerhetsmedvetenhet för insiderhot | Manuell, inaktiverad | 1.1.0 |
Rollbaserad säkerhetsutbildning
ID: FedRAMP High AT-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla rollbaserad säkerhetsutbildning | CMA_C1094 – Tillhandahålla rollbaserad säkerhetsutbildning | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla säkerhetsutbildning innan du ger åtkomst | CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst | Manuell, inaktiverad | 1.1.0 |
Praktiska övningar
ID: FedRAMP High AT-3 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla rollbaserade praktiska övningar | CMA_C1096 – Tillhandahålla rollbaserade praktiska övningar | Manuell, inaktiverad | 1.1.0 |
Misstänkt kommunikation och avvikande systembeteende
ID: FedRAMP High AT-3 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla rollbaserad utbildning om misstänkta aktiviteter | CMA_C1097 – Tillhandahålla rollbaserad utbildning om misstänkta aktiviteter | Manuell, inaktiverad | 1.1.0 |
Säkerhetsträningsposter
ID: FedRAMP High AT-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera utbildningsaktiviteter för säkerhet och sekretess | CMA_0198 – Dokumentera utbildningsaktiviteter för säkerhet och sekretess | Manuell, inaktiverad | 1.1.0 |
| Övervaka slutförande av säkerhets- och sekretessutbildning | CMA_0379 – Övervaka slutförande av säkerhets- och sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
| Behålla träningsposter | CMA_0456 – Behålla träningsposter | Manuell, inaktiverad | 1.1.0 |
Granskning och ansvarsskyldighet
Principer och procedurer för granskning och ansvarsskyldighet
ID: FedRAMP High AU-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla principer och procedurer för granskning och ansvarsskyldighet | CMA_0154 – Utveckla principer och procedurer för granskning och ansvarsskyldighet | Manuell, inaktiverad | 1.1.0 |
| Utveckla principer och procedurer för informationssäkerhet | CMA_0158 – Utveckla principer och procedurer för informationssäkerhet | Manuell, inaktiverad | 1.1.0 |
| Styra principer och procedurer | CMA_0292 – Styra principer och procedurer | Manuell, inaktiverad | 1.1.0 |
| Uppdatera säkerhetsprinciper för information | CMA_0518 – Uppdatera säkerhetsprinciper för information | Manuell, inaktiverad | 1.1.0 |
Granskningshändelser
ID: FedRAMP High AU-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
Recensioner och uppdateringar
ID: FedRAMP High AU-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera händelserna som definierats i AU-02 | CMA_C1106 – Granska och uppdatera händelserna som definierats i AU-02 | Manuell, inaktiverad | 1.1.0 |
Innehåll i granskningsposter
ID: FedRAMP High AU-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
Ytterligare granskningsinformation
ID: FedRAMP High AU-3 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera Azure-granskningsfunktioner | CMA_C1108 – Konfigurera Azure Audit-funktioner | Manuell, inaktiverad | 1.1.1 |
Granska lagringskapacitet
ID: FedRAMP High AU-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
Svar på granskningsbearbetningsfel
ID: FedRAMP High AU-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
Realtidsaviseringar
ID: FedRAMP High AU-5 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ange realtidsaviseringar för granskningshändelsefel | CMA_C1114 – Tillhandahålla realtidsaviseringar för granskningshändelsefel | Manuell, inaktiverad | 1.1.0 |
Granskning, analys och rapportering
ID: FedRAMP High AU-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Korrelera granskningsposter | CMA_0087 – Korrelera granskningsposter | Manuell, inaktiverad | 1.1.0 |
| Upprätta krav för granskningsgranskning och rapportering | CMA_0277 – Upprätta krav för granskning och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera granskning, analys och rapportering | CMA_0339 – Integrera granskning, analys och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera molnappsäkerhet med en siem | CMA_0340 – Integrera molnappsäkerhet med en siem | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska administratörstilldelningar varje vecka | CMA_0461 – Granska administratörstilldelningar varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
| Översikt över molnidentitetsrapport | CMA_0468 – Granska översikt över molnidentitetsrapport | Manuell, inaktiverad | 1.1.0 |
| Granska kontrollerade mappåtkomsthändelser | CMA_0471 – Granska kontrollerade mappåtkomsthändelser | Manuell, inaktiverad | 1.1.0 |
| Granska fil- och mappaktivitet | CMA_0473 – Granska fil- och mappaktivitet | Manuell, inaktiverad | 1.1.0 |
| Granska ändringar i rollgrupper varje vecka | CMA_0476 – Granska ändringar i rollgruppen varje vecka | Manuell, inaktiverad | 1.1.0 |
Processintegration
ID: FedRAMP High AU-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera granskningsposter | CMA_0087 – Korrelera granskningsposter | Manuell, inaktiverad | 1.1.0 |
| Upprätta krav för granskningsgranskning och rapportering | CMA_0277 – Upprätta krav för granskning och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera granskning, analys och rapportering | CMA_0339 – Integrera granskning, analys och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera molnappsäkerhet med en siem | CMA_0340 – Integrera molnappsäkerhet med en siem | Manuell, inaktiverad | 1.1.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska administratörstilldelningar varje vecka | CMA_0461 – Granska administratörstilldelningar varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
| Översikt över molnidentitetsrapport | CMA_0468 – Granska översikt över molnidentitetsrapport | Manuell, inaktiverad | 1.1.0 |
| Granska kontrollerade mappåtkomsthändelser | CMA_0471 – Granska kontrollerade mappåtkomsthändelser | Manuell, inaktiverad | 1.1.0 |
| Granska fil- och mappaktivitet | CMA_0473 – Granska fil- och mappaktivitet | Manuell, inaktiverad | 1.1.0 |
| Granska ändringar i rollgrupper varje vecka | CMA_0476 – Granska ändringar i rollgruppen varje vecka | Manuell, inaktiverad | 1.1.0 |
Korrelera granskningsdatabaser
ID: FedRAMP High AU-6 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera granskningsposter | CMA_0087 – Korrelera granskningsposter | Manuell, inaktiverad | 1.1.0 |
| Integrera molnappsäkerhet med en siem | CMA_0340 – Integrera molnappsäkerhet med en siem | Manuell, inaktiverad | 1.1.0 |
Central granskning och analys
ID: FedRAMP High AU-6 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Integrerings-/genomsöknings- och övervakningsfunktioner
ID: FedRAMP High AU-6 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Integrera analys av granskningsposter | CMA_C1120 – Integrera analys av granskningsposter | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Tillåtna åtgärder
ID: FedRAMP High AU-6 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ange tillåtna åtgärder som är associerade med kundgranskningsinformation | CMA_C1122 – Ange tillåtna åtgärder som är associerade med kundgranskningsinformation | Manuell, inaktiverad | 1.1.0 |
Justering av granskningsnivå
ID: FedRAMP High AU-6 (10) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Justera granskningsnivå, analys och rapportering | CMA_C1123 – Justera granskningsnivå, analys och rapportering | Manuell, inaktiverad | 1.1.0 |
Granskningsminskning och rapportgenerering
ID: FedRAMP High AU-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera att granskningsposter inte ändras | CMA_C1125 – Se till att granskningsposter inte ändras | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla gransknings-, analys- och rapporteringsfunktioner | CMA_C1124 – Tillhandahålla gransknings-, analys- och rapporteringsfunktioner | Manuell, inaktiverad | 1.1.0 |
Automatisk bearbetning
ID: FedRAMP High AU-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ge möjlighet att bearbeta kundkontrollerade granskningsposter | CMA_C1126 – Ge möjlighet att bearbeta kundkontrollerade granskningsposter | Manuell, inaktiverad | 1.1.0 |
Tidsstämplar
ID: FedRAMP High AU-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda systemklockor för granskningsposter | CMA_0535 – Använda systemklockor för granskningsposter | Manuell, inaktiverad | 1.1.0 |
Synkronisering med auktoritativ tidskälla
ID: FedRAMP High AU-8 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda systemklockor för granskningsposter | CMA_0535 – Använda systemklockor för granskningsposter | Manuell, inaktiverad | 1.1.0 |
Skydd av granskningsinformation
ID: FedRAMP High AU-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivera dubbel eller gemensam auktorisering | CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering | Manuell, inaktiverad | 1.1.0 |
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
Granska säkerhetskopiering på separata fysiska system/komponenter
ID: FedRAMP High AU-9 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta principer och procedurer för säkerhetskopiering | CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering | Manuell, inaktiverad | 1.1.0 |
Kryptografiskt skydd
ID: FedRAMP High AU-9 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätthålla integriteten i granskningssystemet | CMA_C1133 – Upprätthålla integriteten i granskningssystemet | Manuell, inaktiverad | 1.1.0 |
Åtkomst efter delmängd av privilegierade användare
ID: FedRAMP High AU-9 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skydda granskningsinformation | CMA_0401 – Skydda granskningsinformation | Manuell, inaktiverad | 1.1.0 |
Oavvislighet
ID: FedRAMP High AU-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta krav för elektronisk signatur och certifikat | CMA_0271 – Upprätta krav för elektronisk signatur och certifikat | Manuell, inaktiverad | 1.1.0 |
Kvarhållning av granskningsposter
ID: FedRAMP High AU-11 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
| Behålla säkerhetsprinciper och procedurer | CMA_0454 – Behålla säkerhetsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
| SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare | I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. | AuditIfNotExists, inaktiverad | 3.0.0 |
Granskningsgenerering
ID: FedRAMP High AU-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Systemomfattande/tidskorrelerad spårningslogg
ID: FedRAMP High AU-12 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Kompilera granskningsposter i systemomfattande granskning | CMA_C1140 – Kompilera granskningsposter i systemomfattande granskning | Manuell, inaktiverad | 1.1.0 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Resursloggar i Azure Data Lake Store ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Azure Stream Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Batch-konton ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Data Lake Analytics ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Händelsehubb ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i IoT Hub ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 3.1.0 |
| Resursloggar i Key Vault ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Logic Apps ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.1.0 |
| Resursloggar i tjänsten Search ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Resursloggar i Service Bus ska vara aktiverade | Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras | AuditIfNotExists, inaktiverad | 5.0.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Ändringar av auktoriserade personer
ID: FedRAMP High AU-12 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ge möjlighet att utöka eller begränsa granskning av kunddistribuerade resurser | CMA_C1141 – Ge möjlighet att utöka eller begränsa granskning av kunddistribuerade resurser | Manuell, inaktiverad | 1.1.0 |
Säkerhetsbedömning och auktorisering
Principer och procedurer för säkerhetsbedömning och auktorisering
ID: FedRAMP High CA-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska principer och procedurer för säkerhetsbedömning och auktorisering | CMA_C1143 – Granska principer och procedurer för säkerhetsbedömning och auktorisering | Manuell, inaktiverad | 1.1.0 |
Säkerhetsutvärderingar
ID: FedRAMP High CA-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera säkerhetskontroller | CMA_C1145 – Utvärdera säkerhetskontroller | Manuell, inaktiverad | 1.1.0 |
| Leverera resultat från säkerhetsutvärdering | CMA_C1147 – Leverera resultat för säkerhetsutvärdering | Manuell, inaktiverad | 1.1.0 |
| Utveckla en plan för säkerhetsbedömning | CMA_C1144 – Utveckla en plan för säkerhetsbedömning | Manuell, inaktiverad | 1.1.0 |
| Skapa en rapport för säkerhetsutvärdering | CMA_C1146 – Skapa en rapport om säkerhetsbedömning | Manuell, inaktiverad | 1.1.0 |
Oberoende bedömare
ID: FedRAMP High CA-2 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda oberoende bedömare för att utföra säkerhetskontrollutvärderingar | CMA_C1148 – Anlita oberoende bedömare för att utföra säkerhetskontrollutvärderingar | Manuell, inaktiverad | 1.1.0 |
Specialiserade utvärderingar
ID: FedRAMP High CA-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Välj ytterligare testning för utvärderingar av säkerhetskontroll | CMA_C1149 – Välj ytterligare testning för säkerhetskontrollutvärderingar | Manuell, inaktiverad | 1.1.0 |
Externa organisationer
ID: FedRAMP High CA-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Acceptera utvärderingsresultat | CMA_C1150 – Acceptera utvärderingsresultat | Manuell, inaktiverad | 1.1.0 |
Systemsammankopplingar
ID: FedRAMP High CA-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv säkerhetsavtal för sammankoppling | CMA_C1151 – Kräv säkerhetsavtal för sammankoppling | Manuell, inaktiverad | 1.1.0 |
| Uppdatera säkerhetsavtal för sammankoppling | CMA_0519 – Uppdatera säkerhetsavtal för sammankoppling | Manuell, inaktiverad | 1.1.0 |
Oklassificerade icke-nationella säkerhetssystemanslutningar
ID: FedRAMP High CA-3 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
Begränsningar för externa systemanslutningar
ID: FedRAMP High CA-3 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda begränsningar för externa systemanslutningar | CMA_C1155 – Använda begränsningar för externa systemanslutningar | Manuell, inaktiverad | 1.1.0 |
Åtgärdsplan och milstolpar
ID: FedRAMP High CA-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla POA&M | CMA_C1156 – Utveckla POA&M | Manuell, inaktiverad | 1.1.0 |
| Uppdatera POA&M-objekt | CMA_C1157 – Uppdatera POA&M-objekt | Manuell, inaktiverad | 1.1.0 |
Säkerhetsauktorisering
ID: FedRAMP High CA-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tilldela en auktoriserande tjänsteman (AO) | CMA_C1158 – Tilldela en auktoriserande tjänsteman (AO) | Manuell, inaktiverad | 1.1.0 |
| Se till att resurserna är auktoriserade | CMA_C1159 – Se till att resurserna är auktoriserade | Manuell, inaktiverad | 1.1.0 |
| Uppdatera säkerhetsauktoriseringen | CMA_C1160 – Uppdatera säkerhetsauktoriseringen | Manuell, inaktiverad | 1.1.0 |
Kontinuerlig övervakning
ID: FedRAMP High CA-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera vitlista för identifiering | CMA_0068 – Konfigurera vitlista för identifiering | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
| Genomgå oberoende säkerhetsgranskning | CMA_0515 – Genomgå oberoende säkerhetsgranskning | Manuell, inaktiverad | 1.1.0 |
Oberoende utvärdering
ID: FedRAMP High CA-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anställa oberoende bedömare för kontinuerlig övervakning | CMA_C1168 – Anställa oberoende bedömare för kontinuerlig övervakning | Manuell, inaktiverad | 1.1.0 |
Trendanalyser
ID: FedRAMP High CA-7 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Analysera data som erhållits från kontinuerlig övervakning | CMA_C1169 – Analysera data från kontinuerlig övervakning | Manuell, inaktiverad | 1.1.0 |
Oberoende intrångsagent eller team
ID: FedRAMP High CA-8 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anställa oberoende team för intrångstestning | CMA_C1171 – Anställa oberoende team för penetrationstestning | Manuell, inaktiverad | 1.1.0 |
Interna systemanslutningar
ID: FedRAMP High CA-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera sekretess och säkerhetsefterlevnad innan du upprättar interna anslutningar | CMA_0053 – Kontrollera sekretess och säkerhetsefterlevnad innan du upprättar interna anslutningar | Manuell, inaktiverad | 1.1.0 |
Konfigurationshantering
Princip och procedurer för konfigurationshantering
ID: FedRAMP High CM-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för konfigurationshantering | CMA_C1175 – Granska och uppdatera principer och procedurer för konfigurationshantering | Manuell, inaktiverad | 1.1.0 |
Baslinjekonfiguration
ID: FedRAMP High CM-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Automation-stöd för noggrannhet/valuta
ID: FedRAMP High CM-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Kvarhållning av tidigare konfigurationer
ID: FedRAMP High CM-2 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Behåll tidigare versioner av baslinjekonfigurationer | CMA_C1181 – Behåll tidigare versioner av baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
Konfigurera system, komponenter eller enheter för högriskområden
ID: FedRAMP High CM-2 (7) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att säkerhetsskyddet inte behövs när individerna återvänder | CMA_C1183 – Se till att säkerhetsskyddet inte behövs när individerna återvänder | Manuell, inaktiverad | 1.1.0 |
| Tillåt inte att informationssystem medföljer enskilda personer | CMA_C1182 – Tillåt inte att informationssystem medföljer enskilda personer | Manuell, inaktiverad | 1.1.0 |
Ändringskontroll för konfiguration
ID: FedRAMP High CM-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra en analys av säkerhetspåverkan | CMA_0057 – Utföra en analys av säkerhetspåverkan | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla en hantering av säkerhetsrisker standard | CMA_0152 – Utveckla och underhålla en hantering av säkerhetsrisker standard | Manuell, inaktiverad | 1.1.0 |
| Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationshanteringskrav för utvecklare | CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare | Manuell, inaktiverad | 1.1.0 |
| Utföra en sekretesskonsekvensbedömning | CMA_0387 – Utföra en sekretesskonsekvensbedömning | Manuell, inaktiverad | 1.1.0 |
| Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
| Utföra granskning för konfigurationsändringskontroll | CMA_0390 – Utföra granskning för konfigurationsändringskontroll | Manuell, inaktiverad | 1.1.0 |
Automatiserat dokument/meddelande/förbud mot ändringar
ID: FedRAMP High CM-3 (1) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera begäran om godkännande för föreslagna ändringar | CMA_C1192 – Automatisera begäran om godkännande för föreslagna ändringar | Manuell, inaktiverad | 1.1.0 |
| Automatisera implementeringen av godkända ändringsmeddelanden | CMA_C1196 – Automatisera implementeringen av godkända ändringsmeddelanden | Manuell, inaktiverad | 1.1.0 |
| Automatisera processen för att dokumentera implementerade ändringar | CMA_C1195 – Automatisera processen för att dokumentera implementerade ändringar | Manuell, inaktiverad | 1.1.0 |
| Automatisera processen för att markera förslag på ändringar som inte har granskats | CMA_C1193 – Automatisera processen för att markera förslag på ändringar som inte har granskats | Manuell, inaktiverad | 1.1.0 |
| Automatisera processen för att förhindra implementering av icke godkända ändringar | CMA_C1194 – Automatisera processen för att förhindra implementering av icke godkända ändringar | Manuell, inaktiverad | 1.1.0 |
| Automatisera föreslagna dokumenterade ändringar | CMA_C1191 – Automatisera föreslagna dokumenterade ändringar | Manuell, inaktiverad | 1.1.0 |
Testa/verifiera/dokumentändringar
ID: FedRAMP High CM-3 (2) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationshanteringskrav för utvecklare | CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare | Manuell, inaktiverad | 1.1.0 |
| Utföra granskning för konfigurationsändringskontroll | CMA_0390 – Utföra granskning för konfigurationsändringskontroll | Manuell, inaktiverad | 1.1.0 |
Säkerhetsrepresentant
ID: FedRAMP High CM-3 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tilldela informationssäkerhetsrepresentant till ändringskontroll | CMA_C1198 – Tilldela informationssäkerhetsrepresentant till ändringskontroll | Manuell, inaktiverad | 1.1.0 |
Kryptografihantering
ID: FedRAMP High CM-3 (6) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att kryptografiska mekanismer är under konfigurationshantering | CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering | Manuell, inaktiverad | 1.1.0 |
Analys av säkerhetspåverkan
ID: FedRAMP High CM-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra en analys av säkerhetspåverkan | CMA_0057 – Utföra en analys av säkerhetspåverkan | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla en hantering av säkerhetsrisker standard | CMA_0152 – Utveckla och underhålla en hantering av säkerhetsrisker standard | Manuell, inaktiverad | 1.1.0 |
| Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationshanteringskrav för utvecklare | CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare | Manuell, inaktiverad | 1.1.0 |
| Utföra en sekretesskonsekvensbedömning | CMA_0387 – Utföra en sekretesskonsekvensbedömning | Manuell, inaktiverad | 1.1.0 |
| Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
| Utföra granskning för konfigurationsändringskontroll | CMA_0390 – Utföra granskning för konfigurationsändringskontroll | Manuell, inaktiverad | 1.1.0 |
Separata testmiljöer
ID: FedRAMP High CM-4 (1) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra en analys av säkerhetspåverkan | CMA_0057 – Utföra en analys av säkerhetspåverkan | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
| Upprätta konfigurationshanteringskrav för utvecklare | CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare | Manuell, inaktiverad | 1.1.0 |
| Utföra en sekretesskonsekvensbedömning | CMA_0387 – Utföra en sekretesskonsekvensbedömning | Manuell, inaktiverad | 1.1.0 |
| Utföra granskning för konfigurationsändringskontroll | CMA_0390 – Utföra granskning för konfigurationsändringskontroll | Manuell, inaktiverad | 1.1.0 |
Åtkomstbegränsningar för ändring
ID: FedRAMP High CM-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Automatisk åtkomsttillämpning/granskning
ID: FedRAMP High CM-5 (1) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga och granska åtkomstbegränsningar | CMA_C1203 – Framtvinga och granska åtkomstbegränsningar | Manuell, inaktiverad | 1.1.0 |
Granska systemändringar
ID: FedRAMP High CM-5 (2) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska ändringar för eventuella obehöriga ändringar | CMA_C1204 – Granska ändringar för obehöriga ändringar | Manuell, inaktiverad | 1.1.0 |
Signerade komponenter
ID: FedRAMP High CM-5 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Begränsa obehörig installation av programvara och inbyggd programvara | CMA_C1205 – Begränsa obehörig installation av programvara och inbyggd programvara | Manuell, inaktiverad | 1.1.0 |
Begränsa produktion/driftbehörigheter
ID: FedRAMP High CM-5 (5) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Begränsa behörigheter för att göra ändringar i produktionsmiljön | CMA_C1206 – Begränsa behörigheter för att göra ändringar i produktionsmiljön | Manuell, inaktiverad | 1.1.0 |
| Granska och omvärdera privilegier | CMA_C1207 – Granska och omvärdera privilegier | Manuell, inaktiverad | 1.1.0 |
Konfigurationsinställningar
ID: FedRAMP High CM-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
| Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.3.0 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
| Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
Automatiserad central hantering/program/verifiering
ID: FedRAMP High CM-6 (1) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
| Styra efterlevnaden för molntjänstleverantörer | CMA_0290 – Styra efterlevnaden för molntjänstleverantörer | Manuell, inaktiverad | 1.1.0 |
| Visa och konfigurera systemdiagnostikdata | CMA_0544 – Visa och konfigurera systemdiagnostikdata | Manuell, inaktiverad | 1.1.0 |
Minst funktionalitet
ID: FedRAMP High CM-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
Information System Component Inventory
ID: FedRAMP High CM-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa en datainventering | CMA_0096 – Skapa en datainventering | Manuell, inaktiverad | 1.1.0 |
| Upprätthålla register över bearbetning av personuppgifter | CMA_0353 – Upprätthålla register över bearbetning av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Uppdateringar under installationer/borttagningar
ID: FedRAMP High CM-8 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa en datainventering | CMA_0096 – Skapa en datainventering | Manuell, inaktiverad | 1.1.0 |
| Upprätthålla register över bearbetning av personuppgifter | CMA_0353 – Upprätthålla register över bearbetning av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Automatisk identifiering av obehöriga komponenter
ID: FedRAMP High CM-8 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aktivera identifiering av nätverksenheter | CMA_0220 – Aktivera identifiering av nätverksenheter | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Ansvarighetsinformation
ID: FedRAMP High CM-8 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa en datainventering | CMA_0096 – Skapa en datainventering | Manuell, inaktiverad | 1.1.0 |
| Upprätta och underhålla en tillgångsinventering | CMA_0266 – Upprätta och underhålla en tillgångsinventering | Manuell, inaktiverad | 1.1.0 |
Konfigurationshanteringsplan
ID: FedRAMP High CM-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa skydd för konfigurationsplan | CMA_C1233 – Skapa skydd för konfigurationsplan | Manuell, inaktiverad | 1.1.0 |
| Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
| Utveckla identifieringsplan för konfigurationsobjekt | CMA_C1231 – Utveckla en plan för identifiering av konfigurationsobjekt | Manuell, inaktiverad | 1.1.0 |
| Utveckla konfigurationshanteringsplan | CMA_C1232 – Utveckla konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
| Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Begränsningar för programvaruanvändning
ID: FedRAMP High CM-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv efterlevnad av immateriella rättigheter | CMA_0432 – Kräv efterlevnad av immateriella rättigheter | Manuell, inaktiverad | 1.1.0 |
| Spåra användning av programvarulicenser | CMA_C1235 – Spåra programvarulicensanvändning | Manuell, inaktiverad | 1.1.0 |
Programvara med öppen källkod
ID: FedRAMP High CM-10 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Begränsa användningen av öppen källkod programvara | CMA_C1237 – Begränsa användningen av öppen källkod programvara | Manuell, inaktiverad | 1.1.0 |
Beredskapsplanering
Policy och procedurer för beredskapsplanering
ID: FedRAMP High CP-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för beredskapsplanering | CMA_C1243 – Granska och uppdatera principer och procedurer för beredskapsplanering | Manuell, inaktiverad | 1.1.0 |
Reservplan
ID: FedRAMP High CP-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kommunicera ändringar i beredskapsplanen | CMA_C1249 – Kommunicera ändringar i beredskapsplanen | Manuell, inaktiverad | 1.1.0 |
| Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
| Utveckla och dokumentera en plan för affärskontinuitet och haveriberedskap | CMA_0146 – Utveckla och dokumentera en plan för affärskontinuitet och haveriberedskap | Manuell, inaktiverad | 1.1.0 |
| Utveckla beredskapsplan | CMA_C1244 – Utveckla beredskapsplan | Manuell, inaktiverad | 1.1.0 |
| Utveckla principer och procedurer för beredskapsplanering | CMA_0156 – Utveckla principer och procedurer för beredskapsplanering | Manuell, inaktiverad | 1.1.0 |
| Distribuera principer och procedurer | CMA_0185 – Distribuera principer och procedurer | Manuell, inaktiverad | 1.1.0 |
| Granska beredskapsplan | CMA_C1247 – Granska beredskapsplan | Manuell, inaktiverad | 1.1.0 |
| Uppdatera beredskapsplan | CMA_C1248 – Uppdatera beredskapsplan | Manuell, inaktiverad | 1.1.0 |
Samordna med relaterade planer
ID: FedRAMP High CP-2 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
Kapacitetsplanering
ID: FedRAMP High CP-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Genomföra kapacitetsplanering | CMA_C1252 – Genomföra kapacitetsplanering | Manuell, inaktiverad | 1.1.0 |
Återuppta viktiga uppdrag/affärsfunktioner
ID: FedRAMP High CP-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Planera för återupptagande av viktiga affärsfunktioner | CMA_C1253 – Planera för återupptagande av viktiga affärsfunktioner | Manuell, inaktiverad | 1.1.0 |
Återuppta alla uppdrag/affärsfunktioner
ID: FedRAMP High CP-2 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Återuppta alla uppdrags- och affärsfunktioner | CMA_C1254 – Återuppta alla uppdrags- och affärsfunktioner | Manuell, inaktiverad | 1.1.0 |
Fortsätt viktiga uppdrag/affärsfunktioner
ID: FedRAMP High CP-2 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Planera för fortsättning av viktiga affärsfunktioner | CMA_C1255 – Planera för fortsättning av viktiga affärsfunktioner | Manuell, inaktiverad | 1.1.0 |
Identifiera kritiska tillgångar
ID: FedRAMP High CP-2 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra en utvärdering av affärspåverkan och utvärdering av programkritiskhet | CMA_0386 – Utföra en utvärdering av affärspåverkan och programkritiskhet | Manuell, inaktiverad | 1.1.0 |
Beredskapsträning
ID: FedRAMP High CP-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla beredskapsträning | CMA_0412 – Tillhandahålla beredskapsträning | Manuell, inaktiverad | 1.1.0 |
Simulerade händelser
ID: FedRAMP High CP-3 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Införliva simulerad beredskapsträning | CMA_C1260 – Införliva simulerad beredskapsträning | Manuell, inaktiverad | 1.1.0 |
Testning av beredskapsplan
ID: FedRAMP High CP-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Initiera åtgärdstestning av beredskapsplan | CMA_C1263 – Initiera korrigeringsåtgärder för beredskapsplanstestning | Manuell, inaktiverad | 1.1.0 |
| Granska resultatet av testning av beredskapsplaner | CMA_C1262 – Granska resultatet av testning av beredskapsplaner | Manuell, inaktiverad | 1.1.0 |
| Testa planen för affärskontinuitet och haveriberedskap | CMA_0509 – Testa planen för affärskontinuitet och haveriberedskap | Manuell, inaktiverad | 1.1.0 |
Samordna med relaterade planer
ID: FedRAMP High CP-4 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
Alternativ bearbetningsplats
ID: FedRAMP High CP-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera alternativa funktioner för bearbetningswebbplatser | CMA_C1266 – Utvärdera alternativa funktioner för bearbetningswebbplatser | Manuell, inaktiverad | 1.1.0 |
| Testa beredskapsplanen på en alternativ bearbetningsplats | CMA_C1265 – Testa beredskapsplan på en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
Alternativ lagringsplats
ID: FedRAMP High CP-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att alternativa skydd för lagringsplats motsvarar den primära platsen | CMA_C1268 – Se till att alternativa skydd för lagringsplatsen motsvarar den primära platsen | Manuell, inaktiverad | 1.1.0 |
| Upprätta en alternativ lagringsplats för att lagra och hämta säkerhetskopieringsinformation | CMA_C1267 – Upprätta en alternativ lagringsplats för att lagra och hämta säkerhetskopieringsinformation | Manuell, inaktiverad | 1.1.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant lagring ska vara aktiverat för lagringskonton | Använda geo-redundans för att skapa program med hög tillgänglighet | Granskning, inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Separation från primär plats
ID: FedRAMP High CP-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa separata alternativa och primära lagringsplatser | CMA_C1269 – Skapa separata alternativa och primära lagringsplatser | Manuell, inaktiverad | 1.1.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant lagring ska vara aktiverat för lagringskonton | Använda geo-redundans för att skapa program med hög tillgänglighet | Granskning, inaktiverad | 1.0.0 |
| Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL Databases | Den här principen granskar alla Azure SQL Database-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. | AuditIfNotExists, inaktiverad | 2.0.0 |
Återställningstid/punktmål
ID: FedRAMP High CP-6 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en alternativ lagringsplats som underlättar återställningsåtgärder | CMA_C1270 – Upprätta en alternativ lagringsplats som underlättar återställningsåtgärder | Manuell, inaktiverad | 1.1.0 |
Tillgänglighet
ID: FedRAMP High CP-6 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera och åtgärda potentiella problem på en alternativ lagringsplats | CMA_C1271 – Identifiera och åtgärda potentiella problem på en annan lagringsplats | Manuell, inaktiverad | 1.1.0 |
Alternativ bearbetningsplats
ID: FedRAMP High CP-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Upprätta en alternativ bearbetningsplats | CMA_0262 – Upprätta en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
Separation från primär plats
ID: FedRAMP High CP-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en alternativ bearbetningsplats | CMA_0262 – Upprätta en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
Tillgänglighet
ID: FedRAMP High CP-7 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en alternativ bearbetningsplats | CMA_0262 – Upprätta en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
Tjänstens prioritet
ID: FedRAMP High CP-7 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en alternativ bearbetningsplats | CMA_0262 – Upprätta en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
| Upprätta krav för internetleverantörer | CMA_0278 – Upprätta krav för internetleverantörer | Manuell, inaktiverad | 1.1.0 |
Förberedelse för användning
ID: FedRAMP High CP-7 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Förbereda alternativ bearbetningsplats för användning som driftplats | CMA_C1278 – Förbereda alternativ bearbetningsplats för användning som driftplats | Manuell, inaktiverad | 1.1.0 |
Prioritet för tjänstbestämmelser
ID: FedRAMP High CP-8 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta krav för internetleverantörer | CMA_0278 – Upprätta krav för internetleverantörer | Manuell, inaktiverad | 1.1.0 |
Säkerhetskopiering av informationssystem
ID: FedRAMP High CP-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Utföra säkerhetskopiering av dokumentation om informationssystem | CMA_C1289 – Genomföra säkerhetskopiering av dokumentation om informationssystem | Manuell, inaktiverad | 1.1.0 |
| Upprätta principer och procedurer för säkerhetskopiering | CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering | Manuell, inaktiverad | 1.1.0 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
| Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
Separat lagring för viktig information
ID: FedRAMP High CP-9 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lagra säkerhetskopieringsinformation separat | CMA_C1293 – Lagra säkerhetskopieringsinformation separat | Manuell, inaktiverad | 1.1.0 |
Överföra till en alternativ lagringsplats
ID: FedRAMP High CP-9 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Överföra säkerhetskopieringsinformation till en alternativ lagringsplats | CMA_C1294 – Överföra säkerhetskopieringsinformation till en alternativ lagringsplats | Manuell, inaktiverad | 1.1.0 |
Återställning och återställning av informationssystem
ID: FedRAMP High CP-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Återställa och återskapa resurser efter eventuella avbrott | CMA_C1295 – Återställa och återskapa resurser efter eventuella avbrott | Manuell, inaktiverad | 1.1.1 |
Transaktionsåterställning
ID: FedRAMP High CP-10 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera transaktionsbaserad återställning | CMA_C1296 – Implementera transaktionsbaserad återställning | Manuell, inaktiverad | 1.1.0 |
Återställ inom en tidsperiod
ID: FedRAMP High CP-10 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Återställa resurser till drifttillstånd | CMA_C1297 – Återställa resurser till drifttillstånd | Manuell, inaktiverad | 1.1.1 |
Identifiering och autentisering
Principer och procedurer för identifiering och autentisering
ID: FedRAMP High IA-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för identifiering och autentisering | CMA_C1299 – Granska och uppdatera principer och procedurer för identifiering och autentisering | Manuell, inaktiverad | 1.1.0 |
Identifiering och autentisering (organisationsanvändare)
ID: FedRAMP High IA-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Framtvinga användar unikhet | CMA_0250 – Framtvinga användar unikhet | Manuell, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
| Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | Manuell, inaktiverad | 1.1.0 |
Nätverksåtkomst till privilegierade konton
ID: FedRAMP High IA-2 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Nätverksåtkomst till icke-privilegierade konton
ID: FedRAMP High IA-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Lokal åtkomst till privilegierade konton
ID: FedRAMP High IA-2 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Gruppautentisering
ID: FedRAMP High IA-2 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv användning av enskilda autentiserare | CMA_C1305 – Kräva användning av enskilda autentiserare | Manuell, inaktiverad | 1.1.0 |
Fjärråtkomst – separat enhet
ID: FedRAMP High IA-2 (11) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
| Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
Godkännande av Piv-autentiseringsuppgifter
ID: FedRAMP High IA-2 (12) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter | Manuell, inaktiverad | 1.1.0 |
Hantering av identifierare
ID: FedRAMP High IA-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Tilldela systemidentifierare | CMA_0018 – Tilldela systemidentifierare | Manuell, inaktiverad | 1.1.0 |
| Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) | Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth | Granska, neka, inaktiverad | 1.1.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Förhindra återanvändning av identifierare för den definierade tidsperioden | CMA_C1314 – Förhindra återanvändning av identifierare för den definierade tidsperioden | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Identifiera användarstatus
ID: FedRAMP High IA-4 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera status för enskilda användare | CMA_C1316 – Identifiera status för enskilda användare | Manuell, inaktiverad | 1.1.0 |
Autentiseringshantering
ID: FedRAMP High IA-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
| Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Upprätta autentiseringstyper och processer | CMA_0267 – Upprätta autentiseringstyper och processer | Manuell, inaktiverad | 1.1.0 |
| Upprätta procedurer för inledande autentiseringsdistribution | CMA_0276 – Upprätta procedurer för inledande autentiseringsdistribution | Manuell, inaktiverad | 1.1.0 |
| Implementera utbildning för att skydda autentiserare | CMA_0329 – Implementera utbildning för att skydda autentiserare | Manuell, inaktiverad | 1.1.0 |
| Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
| Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
| Hantera autentiseringens livslängd och återanvändning | CMA_0355 – Hantera autentiseringslivslängd och återanvändning | Manuell, inaktiverad | 1.1.0 |
| Hantera autentiserare | CMA_C1321 – Hantera autentiserare | Manuell, inaktiverad | 1.1.0 |
| Uppdatera autentiserare | CMA_0425 – Uppdatera autentiserare | Manuell, inaktiverad | 1.1.0 |
| Återutge autentiserare för ändrade grupper och konton | CMA_0426 – Återutge autentiserare för ändrade grupper och konton | Manuell, inaktiverad | 1.1.0 |
| Verifiera identiteten innan du distribuerar autentiserare | CMA_0538 – Verifiera identiteten innan du distribuerar autentiserare | Manuell, inaktiverad | 1.1.0 |
Lösenordsbaserad autentisering
ID: FedRAMP High IA-5 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Upprätta en lösenordsprincip | CMA_0256 – Upprätta en lösenordsprincip | Manuell, inaktiverad | 1.1.0 |
| Implementera parametrar för memorerade hemliga kontrollanter | CMA_0321 – Implementera parametrar för memorerade hemliga kontrollanter | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Pki-baserad autentisering
ID: FedRAMP High IA-5 (2) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Binda autentiserare och identiteter dynamiskt | CMA_0035 – Binda autentiserare och identiteter dynamiskt | Manuell, inaktiverad | 1.1.0 |
| Upprätta autentiseringstyper och processer | CMA_0267 – Upprätta autentiseringstyper och processer | Manuell, inaktiverad | 1.1.0 |
| Upprätta parametrar för att söka efter hemliga autentiserare och kontrollanter | CMA_0274 – Upprätta parametrar för sökning efter hemliga autentiserare och verifierare | Manuell, inaktiverad | 1.1.0 |
| Upprätta procedurer för inledande autentiseringsdistribution | CMA_0276 – Upprätta procedurer för inledande autentiseringsdistribution | Manuell, inaktiverad | 1.1.0 |
| Mappa autentiserade identiteter till individer | CMA_0372 – Mappa autentiserade identiteter till individer | Manuell, inaktiverad | 1.1.0 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
| Verifiera identiteten innan du distribuerar autentiserare | CMA_0538 – Verifiera identiteten innan du distribuerar autentiserare | Manuell, inaktiverad | 1.1.0 |
Personlig eller betrodd registrering från tredje part
ID: FedRAMP High IA-5 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Distribuera autentiserare | CMA_0184 – Distribuera autentisering | Manuell, inaktiverad | 1.1.0 |
Automatiserat stöd för bestämning av lösenordsstyrka
ID: FedRAMP High IA-5 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Upprätta en lösenordsprincip | CMA_0256 – Upprätta en lösenordsprincip | Manuell, inaktiverad | 1.1.0 |
| Implementera parametrar för memorerade hemliga kontrollanter | CMA_0321 – Implementera parametrar för memorerade hemliga kontrollanter | Manuell, inaktiverad | 1.1.0 |
Skydd av autentiserare
ID: FedRAMP High IA-5 (6) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att behöriga användare skyddar angivna autentiserare | CMA_C1339 – Se till att behöriga användare skyddar angivna autentiserare | Manuell, inaktiverad | 1.1.0 |
Inga inbäddade okrypterade statiska autentiserare
ID: FedRAMP High IA-5 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera att det inte finns några okrypterade statiska autentiserare | CMA_C1340 – Se till att det inte finns några okrypterade statiska autentiserare | Manuell, inaktiverad | 1.1.0 |
Maskinvarutokenbaserad autentisering
ID: FedRAMP High IA-5 (11) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Uppfylla kvalitetskraven för token | CMA_0487 – Uppfylla kvalitetskraven för token | Manuell, inaktiverad | 1.1.0 |
Förfallodatum för cachelagrade autentiserare
ID: FedRAMP High IA-5 (13) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Framtvinga förfallodatum för cachelagrade autentiserare | CMA_C1343 – Framtvinga förfallotid för cachelagrade autentiserare | Manuell, inaktiverad | 1.1.0 |
Feedback om autentisering
ID: FedRAMP High IA-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dölj feedbackinformation under autentiseringsprocessen | CMA_C1344 – Obskyr feedbackinformation under autentiseringsprocessen | Manuell, inaktiverad | 1.1.0 |
Autentisering av kryptografisk modul
ID: FedRAMP High IA-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Autentisera till kryptografisk modul | CMA_0021 – Autentisera till kryptografisk modul | Manuell, inaktiverad | 1.1.0 |
Identifiering och autentisering (icke-organisatoriska användare)
ID: FedRAMP High IA-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera och autentisera icke-organisationsanvändare | CMA_C1346 – Identifiera och autentisera icke-organisationsanvändare | Manuell, inaktiverad | 1.1.0 |
Godkännande av Piv-autentiseringsuppgifter från andra byråer
ID: FedRAMP High IA-8 (1) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Acceptera PIV-autentiseringsuppgifter | CMA_C1347 – Acceptera PIV-autentiseringsuppgifter | Manuell, inaktiverad | 1.1.0 |
Godkännande av autentiseringsuppgifter från tredje part
ID: FedRAMP High IA-8 (2) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Acceptera endast FICAM-godkända autentiseringsuppgifter från tredje part | CMA_C1348 – Acceptera endast FICAM-godkända autentiseringsuppgifter från tredje part | Manuell, inaktiverad | 1.1.0 |
Användning av Ficam-godkända produkter
ID: FedRAMP High IA-8 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda FICAM-godkända resurser för att acceptera autentiseringsuppgifter från tredje part | CMA_C1349 – Använda FICAM-godkända resurser för att acceptera autentiseringsuppgifter från tredje part | Manuell, inaktiverad | 1.1.0 |
Användning av Ficam-utfärdade profiler
ID: FedRAMP High IA-8 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassa dig till FICAM-utfärdade profiler | CMA_C1350 – Anpassa sig till FICAM-utfärdade profiler | Manuell, inaktiverad | 1.1.0 |
Incidentsvar
Policy och procedurer för incidenthantering
ID: FedRAMP High IR-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för incidenthantering | CMA_C1352 – Granska och uppdatera principer och procedurer för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Incidenthanteringsträning
ID: FedRAMP High IR-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla informationsspillträning | CMA_0413 – Tillhandahålla informationsspillträning | Manuell, inaktiverad | 1.1.0 |
Simulerade händelser
ID: FedRAMP High IR-2 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Införliva simulerade händelser i incidenthanteringsträning | CMA_C1356 – Införliva simulerade händelser i incidenthanteringsträning | Manuell, inaktiverad | 1.1.0 |
Automatiserade träningsmiljöer
ID: FedRAMP High IR-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en automatiserad träningsmiljö | CMA_C1357 – Använda automatiserad träningsmiljö | Manuell, inaktiverad | 1.1.0 |
Incidenthanteringstestning
ID: FedRAMP High IR-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra incidenthanteringstestning | CMA_0060 – Utföra incidenthanteringstestning | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett informationssäkerhetsprogram | CMA_0263 – Upprätta ett informationssäkerhetsprogram | Manuell, inaktiverad | 1.1.0 |
| Köra simuleringsattacker | CMA_0486 – Köra simuleringsattacker | Manuell, inaktiverad | 1.1.0 |
Samordning med relaterade planer
ID: FedRAMP High IR-3 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra incidenthanteringstestning | CMA_0060 – Utföra incidenthanteringstestning | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett informationssäkerhetsprogram | CMA_0263 – Upprätta ett informationssäkerhetsprogram | Manuell, inaktiverad | 1.1.0 |
| Köra simuleringsattacker | CMA_0486 – Köra simuleringsattacker | Manuell, inaktiverad | 1.1.0 |
Incidenthantering
ID: FedRAMP High IR-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera informationssäkerhetshändelser | CMA_0013 – Utvärdera informationssäkerhetshändelser | Manuell, inaktiverad | 1.1.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Utveckla säkerhetsskydd | CMA_0161 – Utveckla säkerhetsskydd | Manuell, inaktiverad | 1.1.0 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Aktivera nätverksskydd | CMA_0238 – Aktivera nätverksskydd | Manuell, inaktiverad | 1.1.0 |
| Utrota kontaminerad information | CMA_0253 – Utrota kontaminerad information | Manuell, inaktiverad | 1.1.0 |
| Köra åtgärder som svar på informationsutsläpp | CMA_0281 – Köra åtgärder som svar på informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
| Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Underhålla en plan för incidenthantering | CMA_0352 – Underhålla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Visa och undersöka begränsade användare | CMA_0545 – Visa och undersöka begränsade användare | Manuell, inaktiverad | 1.1.0 |
Automatiserade processer för incidenthantering
ID: FedRAMP High IR-4 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Aktivera nätverksskydd | CMA_0238 – Aktivera nätverksskydd | Manuell, inaktiverad | 1.1.0 |
| Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
Dynamisk omkonfiguration
ID: FedRAMP High IR-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Inkludera dynamisk omkonfiguration av kunddistribuerade resurser | CMA_C1364 – Inkludera dynamisk omkonfiguration av kunddistribuerade resurser | Manuell, inaktiverad | 1.1.0 |
Verksamhetskontinuitet
ID: FedRAMP High IR-4 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera klasser av incidenter och åtgärder som vidtas | CMA_C1365 – Identifiera klasser av incidenter och åtgärder som vidtas | Manuell, inaktiverad | 1.1.0 |
Informationskorrelation
ID: FedRAMP High IR-4 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
Insiderhot – specifika funktioner
ID: FedRAMP High IR-4 (6) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kapacitet för incidenthantering | CMA_C1367 – Implementera kapacitet för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Korrelation med externa organisationer
ID: FedRAMP High IR-4 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Samordna med externa organisationer för att uppnå ett övergripande organisationsperspektiv | CMA_C1368 – Samordna med externa organisationer för att uppnå övergripande organisationsperspektiv | Manuell, inaktiverad | 1.1.0 |
Incidentövervakning
ID: FedRAMP High IR-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
| E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Automatiserad rapportering
ID: FedRAMP High IR-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
Hjälp med incidenthantering
ID: FedRAMP High IR-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
Automation-stöd för tillgänglighet för information/support
ID: FedRAMP High IR-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Aktivera nätverksskydd | CMA_0238 – Aktivera nätverksskydd | Manuell, inaktiverad | 1.1.0 |
| Utrota kontaminerad information | CMA_0253 – Utrota kontaminerad information | Manuell, inaktiverad | 1.1.0 |
| Köra åtgärder som svar på informationsutsläpp | CMA_0281 – Köra åtgärder som svar på informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
| Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Visa och undersöka begränsade användare | CMA_0545 – Visa och undersöka begränsade användare | Manuell, inaktiverad | 1.1.0 |
Samordning med externa leverantörer
ID: FedRAMP High IR-7 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta en relation mellan incidenthanteringsfunktionen och externa leverantörer | CMA_C1376 – Upprätta en relation mellan incidenthanteringskapacitet och externa leverantörer | Manuell, inaktiverad | 1.1.0 |
| Identifiera personal för incidenthantering | CMA_0301 – Identifiera personal för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Incidenthanteringsplan
ID: FedRAMP High IR-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera informationssäkerhetshändelser | CMA_0013 – Utvärdera informationssäkerhetshändelser | Manuell, inaktiverad | 1.1.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Underhålla dataintrångsposter | CMA_0351 – Underhålla dataintrångsposter | Manuell, inaktiverad | 1.1.0 |
| Underhålla en plan för incidenthantering | CMA_0352 – Underhålla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Skydda planen för incidenthantering | CMA_0405 – Skydda planen för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Svar på informationsspill
ID: FedRAMP High IR-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Utrota kontaminerad information | CMA_0253 – Utrota kontaminerad information | Manuell, inaktiverad | 1.1.0 |
| Köra åtgärder som svar på informationsutsläpp | CMA_0281 – Köra åtgärder som svar på informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
| Identifiera förorenade system och komponenter | CMA_0300 – Identifiera förorenade system och komponenter | Manuell, inaktiverad | 1.1.0 |
| Identifiera spilld information | CMA_0303 – Identifiera spilld information | Manuell, inaktiverad | 1.1.0 |
| Isolera informationsutsläpp | CMA_0346 – Isolera informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
Ansvarig personal
ID: FedRAMP High IR-9 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera personal för incidenthantering | CMA_0301 – Identifiera personal för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Utbildning
ID: FedRAMP High IR-9 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tillhandahålla informationsspillträning | CMA_0413 – Tillhandahålla informationsspillträning | Manuell, inaktiverad | 1.1.0 |
Åtgärder efter spill
ID: FedRAMP High IR-9 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla åtgärder för spill | CMA_0162 – Utveckla åtgärder för spill | Manuell, inaktiverad | 1.1.0 |
Exponering för obehörig personal
ID: FedRAMP High IR-9 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla säkerhetsskydd | CMA_0161 – Utveckla säkerhetsskydd | Manuell, inaktiverad | 1.1.0 |
Underhåll
Principer och procedurer för systemunderhåll
ID: FedRAMP High MA-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för systemunderhåll | CMA_C1395 – Granska och uppdatera principer och procedurer för systemunderhåll | Manuell, inaktiverad | 1.1.0 |
Kontrollerat underhåll
ID: FedRAMP High MA-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera underhålls- och reparationsaktiviteter | CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Automatiserade underhållsaktiviteter
ID: FedRAMP High MA-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera fjärrunderhållsaktiviteter | CMA_C1402 – Automatisera fjärrunderhållsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Skapa fullständiga poster för fjärrunderhållsaktiviteter | CMA_C1403 – Skapa fullständiga poster för fjärrunderhållsaktiviteter | Manuell, inaktiverad | 1.1.0 |
Underhållsverktyg
ID: FedRAMP High MA-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera underhålls- och reparationsaktiviteter | CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Granska verktyg
ID: FedRAMP High MA-3 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera underhålls- och reparationsaktiviteter | CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Granska media
ID: FedRAMP High MA-3 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera underhålls- och reparationsaktiviteter | CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Förhindra obehörig borttagning
ID: FedRAMP High MA-3 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera underhålls- och reparationsaktiviteter | CMA_0080 – Kontrollera underhålls- och reparationsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Ej lokaliserat underhåll
ID: FedRAMP High MA-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Dokumentera icke-lokaliserat underhåll
ID: FedRAMP High MA-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | CMA_0364 – Hantera icke-lokaliserade underhålls- och diagnostikaktiviteter | Manuell, inaktiverad | 1.1.0 |
Jämförbar säkerhet/sanitering
ID: FedRAMP High MA-4 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utför allt icke-lokalt underhåll | CMA_C1417 – Utför allt icke-lokalt underhåll | Manuell, inaktiverad | 1.1.0 |
Kryptografiskt skydd
ID: FedRAMP High MA-4 (6) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kryptografiska mekanismer | CMA_C1419 – Implementera kryptografiska mekanismer | Manuell, inaktiverad | 1.1.0 |
Underhållspersonal
ID: FedRAMP High MA-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utse personal som ska övervaka obehöriga underhållsaktiviteter | CMA_C1422 – Utse personal som ska övervaka obehöriga underhållsaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Underhålla en lista över auktoriserade fjärrunderhållspersonal | CMA_C1420 – Underhålla en lista över auktoriserade fjärrunderhållspersonal | Manuell, inaktiverad | 1.1.0 |
| Hantera underhållspersonal | CMA_C1421 – Hantera underhållspersonal | Manuell, inaktiverad | 1.1.0 |
Individer utan lämplig åtkomst
ID: FedRAMP High MA-5 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Underhåll i tid
ID: FedRAMP High MA-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ge stöd för underhåll i tid | CMA_C1425 – Ge support för underhåll i tid | Manuell, inaktiverad | 1.1.0 |
Medieskydd
Principer och procedurer för medieskydd
ID: FedRAMP High MP-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för medieskydd | CMA_C1427 – Granska och uppdatera principer och procedurer för medieskydd | Manuell, inaktiverad | 1.1.0 |
Medieåtkomst
ID: FedRAMP High MP-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Mediemarkering
ID: FedRAMP High MP-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Medielagring
ID: FedRAMP High MP-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Medietransport
ID: FedRAMP High MP-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Hantera transport av tillgångar | CMA_0370 – Hantera transport av tillgångar | Manuell, inaktiverad | 1.1.0 |
Kryptografiskt skydd
ID: FedRAMP High MP-5 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Hantera transport av tillgångar | CMA_0370 – Hantera transport av tillgångar | Manuell, inaktiverad | 1.1.0 |
Mediesanering
ID: FedRAMP High MP-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Granska/godkänna/spåra/dokument/verifiera
ID: FedRAMP High MP-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Utrustningstestning
ID: FedRAMP High MP-6 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Medieanvändning
ID: FedRAMP High MP-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Kontrollera användningen av bärbara lagringsenheter | CMA_0083 – Styra användningen av bärbara lagringsenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Begränsa medieanvändning | CMA_0450 – Begränsa medieanvändning | Manuell, inaktiverad | 1.1.0 |
Förhindra användning utan ägare
ID: FedRAMP High MP-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Kontrollera användningen av bärbara lagringsenheter | CMA_0083 – Styra användningen av bärbara lagringsenheter | Manuell, inaktiverad | 1.1.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Begränsa medieanvändning | CMA_0450 – Begränsa medieanvändning | Manuell, inaktiverad | 1.1.0 |
Fysiskt och miljöskydd
Politik och förfaranden för fysiskt och miljöskydd
ID: FedRAMP High PE-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera fysiska och miljömässiga principer och procedurer | CMA_C1446 – Granska och uppdatera fysiska och miljömässiga principer och förfaranden | Manuell, inaktiverad | 1.1.0 |
Auktoriseringar för fysisk åtkomst
ID: FedRAMP High PE-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Fysisk åtkomstkontroll
ID: FedRAMP High PE-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Upprätta och underhålla en tillgångsinventering | CMA_0266 – Upprätta och underhålla en tillgångsinventering | Manuell, inaktiverad | 1.1.0 |
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Åtkomstkontroll för överföringsmedium
ID: FedRAMP High PE-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Åtkomstkontroll för utdataenheter
ID: FedRAMP High PE-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
| Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Intrångslarm/övervakningsutrustning
ID: FedRAMP High PE-6 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Installera ett larmsystem | CMA_0338 – Installera ett larmsystem | Manuell, inaktiverad | 1.1.0 |
| Hantera ett säkert övervakningskamerasystem | CMA_0354 – Hantera ett säkert övervakningskamerasystem | Manuell, inaktiverad | 1.1.0 |
Besökaråtkomstposter
ID: FedRAMP High PE-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Nödbelysning
ID: FedRAMP High PE-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda automatisk nödbelysning | CMA_0209 – Använda automatisk nödbelysning | Manuell, inaktiverad | 1.1.0 |
Brandskydd
ID: FedRAMP High PE-13 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Identifieringsenheter/system
ID: FedRAMP High PE-13 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera en metod för intrångstestning | CMA_0306 – Implementera en metod för intrångstestning | Manuell, inaktiverad | 1.1.0 |
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
| Köra simuleringsattacker | CMA_0486 – Köra simuleringsattacker | Manuell, inaktiverad | 1.1.0 |
Undertryckningsenheter/system
ID: FedRAMP High PE-13 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Automatisk undertryckning av brand
ID: FedRAMP High PE-13 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Temperatur- och luftfuktighetskontroller
ID: FedRAMP High PE-14 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Övervakning med larm/meddelanden
ID: FedRAMP High PE-14 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
| Installera ett larmsystem | CMA_0338 – Installera ett larmsystem | Manuell, inaktiverad | 1.1.0 |
Skydd mot vattenskador
ID: FedRAMP High PE-15 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Leverans och borttagning
ID: FedRAMP High PE-16 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera krav för att hantera tillgångar | CMA_0125 – Definiera krav för hantering av tillgångar | Manuell, inaktiverad | 1.1.0 |
| Hantera transport av tillgångar | CMA_0370 – Hantera transport av tillgångar | Manuell, inaktiverad | 1.1.0 |
Alternativ arbetswebbplats
ID: FedRAMP High PE-17 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
Plats för informationssystemkomponenter
ID: FedRAMP High PE-18 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Planerad
Policy och procedurer för säkerhetsplanering
ID: FedRAMP High PL-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera planeringsprinciper och procedurer | CMA_C1491 – Granska och uppdatera planeringsprinciper och procedurer | Manuell, inaktiverad | 1.1.0 |
Systemsäkerhetsplan
ID: FedRAMP High PL-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla och upprätta en systemsäkerhetsplan | CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan | Manuell, inaktiverad | 1.1.0 |
| Utveckla principer och procedurer för informationssäkerhet | CMA_0158 – Utveckla principer och procedurer för informationssäkerhet | Manuell, inaktiverad | 1.1.0 |
| Utveckla SSP som uppfyller kriterierna | CMA_C1492 – Utveckla SSP som uppfyller kriterierna | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett sekretessprogram | CMA_0257 – Upprätta ett sekretessprogram | Manuell, inaktiverad | 1.1.0 |
| Upprätta säkerhetskrav för tillverkning av anslutna enheter | CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter | Manuell, inaktiverad | 1.1.0 |
| Implementera säkerhetstekniska principer för informationssystem | CMA_0325 – Implementera säkerhetstekniska principer för informationssystem | Manuell, inaktiverad | 1.1.0 |
Planera/samordna med andra organisationsentiteter
ID: FedRAMP High PL-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla och upprätta en systemsäkerhetsplan | CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan | Manuell, inaktiverad | 1.1.0 |
| Upprätta säkerhetskrav för tillverkning av anslutna enheter | CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter | Manuell, inaktiverad | 1.1.0 |
| Implementera säkerhetstekniska principer för informationssystem | CMA_0325 – Implementera säkerhetstekniska principer för informationssystem | Manuell, inaktiverad | 1.1.0 |
Beteenderegler
ID: FedRAMP High PL-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla principer och procedurer för godtagbar användning | CMA_0143 – Utveckla principer och procedurer för godtagbar användning | Manuell, inaktiverad | 1.1.0 |
| Utveckla organisationens policy för uppförandekod | CMA_0159 – Utveckla organisationens uppförandekod | Manuell, inaktiverad | 1.1.0 |
| Dokumentera personalens godkännande av sekretesskrav | CMA_0193 – Dokumentera personalens godkännande av sekretesskrav | Manuell, inaktiverad | 1.1.0 |
| Framtvinga regler för beteende- och åtkomstavtal | CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
| Förbjuda illojala metoder | CMA_0396 – Förbjuda otillbörliga metoder | Manuell, inaktiverad | 1.1.0 |
| Granska och signera ändrade beteenderegler | CMA_0465 – Granska och underteckna ändrade beteenderegler | Manuell, inaktiverad | 1.1.0 |
| Uppdatera säkerhetsprinciper för information | CMA_0518 – Uppdatera säkerhetsprinciper för information | Manuell, inaktiverad | 1.1.0 |
| Uppdatera regler för beteende- och åtkomstavtal | CMA_0521 – Uppdatera regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
| Uppdatera regler för beteende och åtkomstavtal vart tredje år | CMA_0522 – Uppdatera regler för beteende- och åtkomstavtal vart tredje år | Manuell, inaktiverad | 1.1.0 |
Begränsningar för sociala medier och nätverk
ID: FedRAMP High PL-4 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla principer och procedurer för godtagbar användning | CMA_0143 – Utveckla principer och procedurer för godtagbar användning | Manuell, inaktiverad | 1.1.0 |
Arkitektur för informationssäkerhet
ID: FedRAMP High PL-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utveckla ett driftskoncept (CONOPS) | CMA_0141 – Utveckla ett verksamhetsbegrepp (CONOPS) | Manuell, inaktiverad | 1.1.0 |
| Granska och uppdatera informationssäkerhetsarkitekturen | CMA_C1504 – Granska och uppdatera informationssäkerhetsarkitekturen | Manuell, inaktiverad | 1.1.0 |
Personalsäkerhet
Policy och procedurer för personalsäkerhet
ID: FedRAMP High PS-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera säkerhetsprinciper och procedurer för personalsäkerhet | CMA_C1507 – Granska och uppdatera säkerhetsprinciper och procedurer för personalsäkerhet | Manuell, inaktiverad | 1.1.0 |
Placeringsriskbeteckning
ID: FedRAMP High PS-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Tilldela riskbeteckningar | CMA_0016 – Tilldela riskbeteckningar | Manuell, inaktiverad | 1.1.0 |
Personalkontroll
ID: FedRAMP High PS-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Rensa personal med tillgång till sekretessbelagd information | CMA_0054 – Rensa personal med tillgång till sekretessbelagd information | Manuell, inaktiverad | 1.1.0 |
| Implementera personalkontroll | CMA_0322 – Implementera personalkontroll | Manuell, inaktiverad | 1.1.0 |
| Omskärma individer med en definierad frekvens | CMA_C1512 – Omskärma individer med en definierad frekvens | Manuell, inaktiverad | 1.1.0 |
Information med särskilda skyddsåtgärder
ID: FedRAMP High PS-3 (3) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Personalavslut
ID: FedRAMP High PS-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Genomför exit-intervju vid uppsägning | CMA_0058 - Genomföra exit intervju vid uppsägning | Manuell, inaktiverad | 1.1.0 |
| Inaktivera autentiserare vid avslutning | CMA_0169 – Inaktivera autentisering vid avslutning | Manuell, inaktiverad | 1.1.0 |
| Meddela vid uppsägning eller överföring | CMA_0381 – Meddela vid uppsägning eller överföring | Manuell, inaktiverad | 1.1.0 |
| Skydda mot och förhindra datastöld från avgående anställda | CMA_0398 – Skydda mot och förhindra datastöld från avgående anställda | Manuell, inaktiverad | 1.1.0 |
| Behålla avslutade användardata | CMA_0455 – Behåll avslutade användardata | Manuell, inaktiverad | 1.1.0 |
Automatiserat meddelande
ID: FedRAMP High PS-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera meddelande om uppsägning av anställda | CMA_C1521 – Automatisera meddelande om uppsägning av anställda | Manuell, inaktiverad | 1.1.0 |
Personalöverföring
ID: FedRAMP High PS-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Initiera överförings- eller omtilldelningsåtgärder | CMA_0333 – Initiera överförings- eller omtilldelningsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Ändra åtkomstauktoriseringar vid personalöverföring | CMA_0374 – Ändra åtkomstauktoriseringar vid personalöverföring | Manuell, inaktiverad | 1.1.0 |
| Meddela vid uppsägning eller överföring | CMA_0381 – Meddela vid uppsägning eller överföring | Manuell, inaktiverad | 1.1.0 |
| Omvärdera åtkomst vid personalöverföring | CMA_0424 – Omvärdera åtkomst vid personalöverföring | Manuell, inaktiverad | 1.1.0 |
Åtkomstavtal
ID: FedRAMP High PS-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera organisationens åtkomstavtal | CMA_0192 – Dokumentera organisationsåtkomstavtal | Manuell, inaktiverad | 1.1.0 |
| Framtvinga regler för beteende- och åtkomstavtal | CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
| Se till att åtkomstavtal undertecknas eller avsags i tid | CMA_C1528 – Se till att åtkomstavtal undertecknas eller avsägs i tid | Manuell, inaktiverad | 1.1.0 |
| Kräv att användare signerar åtkomstavtal | CMA_0440 – Kräv att användare signerar åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
| Uppdatera organisationens åtkomstavtal | CMA_0520 – Uppdatera organisationens åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
Personalsäkerhet från tredje part
ID: FedRAMP High PS-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera säkerhetskrav för personal från tredje part | CMA_C1531 – Dokumentera säkerhetskrav för tredje part | Manuell, inaktiverad | 1.1.0 |
| Upprätta säkerhetskrav för personal från tredje part | CMA_C1529 – Upprätta säkerhetskrav för tredje part | Manuell, inaktiverad | 1.1.0 |
| Övervaka tredjepartsleverantörsefterlevnad | CMA_C1533 – Övervaka tredjepartsleverantörsefterlevnad | Manuell, inaktiverad | 1.1.0 |
| Kräv meddelande om överföring eller uppsägning av personal från tredje part | CMA_C1532 – Kräv meddelande om överföring eller uppsägning av personal från tredje part | Manuell, inaktiverad | 1.1.0 |
| Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer | CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal | Manuell, inaktiverad | 1.1.0 |
Personalpåföljder
ID: FedRAMP High PS-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera formell sanktionsprocess | CMA_0317 – Genomföra formell sanktionsprocess | Manuell, inaktiverad | 1.1.0 |
| Meddela personalen om sanktioner | CMA_0380 – Meddela personalen om sanktioner | Manuell, inaktiverad | 1.1.0 |
Riskbedömning
Policy och procedurer för riskbedömning
ID: FedRAMP High RA-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för riskbedömning | CMA_C1537 – Granska och uppdatera principer och förfaranden för riskbedömning | Manuell, inaktiverad | 1.1.0 |
Säkerhetskategorisering
ID: FedRAMP High RA-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kategorisera information | CMA_0052 – Kategorisera information | Manuell, inaktiverad | 1.1.0 |
| Utveckla affärsklassificeringsscheman | CMA_0155 – Utveckla affärsklassificeringssystem | Manuell, inaktiverad | 1.1.0 |
| Se till att säkerhetskategorisering är godkänd | CMA_C1540 – Se till att säkerhetskategorisering godkänns | Manuell, inaktiverad | 1.1.0 |
| Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Riskbedömning
ID: FedRAMP High RA-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Genomföra riskbedömning | CMA_C1543 – Genomföra riskbedömning | Manuell, inaktiverad | 1.1.0 |
| Genomför riskbedömning och distribuera resultaten | CMA_C1544 – Genomföra riskbedömning och distribuera resultaten | Manuell, inaktiverad | 1.1.0 |
| Genomföra riskbedömning och dokumentera resultaten | CMA_C1542 – Genomföra riskbedömning och dokumentera resultaten | Manuell, inaktiverad | 1.1.0 |
| Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Sårbarhetsgenomsökning
ID: FedRAMP High RA-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| SQL-servrar på datorer bör ha sårbarhetsresultat lösta | SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor | Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. | AuditIfNotExists, inaktiverad | 1.0.0 |
Uppdateringsverktygsfunktion
ID: FedRAMP High RA-5 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Uppdatera efter frekvens/före ny genomsökning/när den identifieras
ID: FedRAMP High RA-5 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Bredd/täckningsdjup
ID: FedRAMP High RA-5 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Identifierbar information
ID: FedRAMP High RA-5 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Vidta åtgärder som svar på kundinformation | CMA_C1554 – Vidta åtgärder som svar på kundinformation | Manuell, inaktiverad | 1.1.0 |
Privilegierad åtkomst
ID: FedRAMP High RA-5 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera privilegierad åtkomst för att köra aktiviteter för sårbarhetsgenomsökning | CMA_C1555 – Implementera privilegierad åtkomst för körning av sårbarhetsgenomsökningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
Automatiserade trendanalyser
ID: FedRAMP High RA-5 (6) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Observera och rapportera säkerhetsbrister | CMA_0384 – Observera och rapportera säkerhetsbrister | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra hotmodellering | CMA_0392 – Utföra hotmodellering | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Granska historiska granskningsloggar
ID: FedRAMP High RA-5 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
| Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
| Korrelera granskningsposter | CMA_0087 – Korrelera granskningsposter | Manuell, inaktiverad | 1.1.0 |
| Fastställa granskningsbara händelser | CMA_0137 – Fastställa granskningsbara händelser | Manuell, inaktiverad | 1.1.0 |
| Upprätta krav för granskningsgranskning och rapportering | CMA_0277 – Upprätta krav för granskning och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera granskning, analys och rapportering | CMA_0339 – Integrera granskning, analys och rapportering | Manuell, inaktiverad | 1.1.0 |
| Integrera molnappsäkerhet med en siem | CMA_0340 – Integrera molnappsäkerhet med en siem | Manuell, inaktiverad | 1.1.0 |
| Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
| Granska administratörstilldelningar varje vecka | CMA_0461 – Granska administratörstilldelningar varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska granskningsdata | CMA_0466 – Granska granskningsdata | Manuell, inaktiverad | 1.1.0 |
| Översikt över molnidentitetsrapport | CMA_0468 – Granska översikt över molnidentitetsrapport | Manuell, inaktiverad | 1.1.0 |
| Granska kontrollerade mappåtkomsthändelser | CMA_0471 – Granska kontrollerade mappåtkomsthändelser | Manuell, inaktiverad | 1.1.0 |
| Granska exploateringsskyddshändelser | CMA_0472 – Granska händelser för exploateringsskydd | Manuell, inaktiverad | 1.1.0 |
| Granska fil- och mappaktivitet | CMA_0473 – Granska fil- och mappaktivitet | Manuell, inaktiverad | 1.1.0 |
| Granska ändringar i rollgrupper varje vecka | CMA_0476 – Granska ändringar i rollgruppen varje vecka | Manuell, inaktiverad | 1.1.0 |
Korrelera genomsökningsinformation
ID: FedRAMP High RA-5 (10) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Korrelera information om sårbarhetsgenomsökning | CMA_C1558 – Korrelera information om sårbarhetsgenomsökning | Manuell, inaktiverad | 1.1.1 |
Förvärv av system och tjänster
Policy och procedurer för förvärv av system och tjänster
ID: FedRAMP High SA-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för system- och tjänsteförvärv | CMA_C1560 – Granska och uppdatera principer och procedurer för system- och tjänsteförvärv | Manuell, inaktiverad | 1.1.0 |
Allokering av resurser
ID: FedRAMP High SA-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassa affärsmål och IT-mål | CMA_0008 – Anpassa affärsmål och IT-mål | Manuell, inaktiverad | 1.1.0 |
| Allokera resurser för att fastställa informationssystemkrav | CMA_C1561 – Allokera resurser för att fastställa informationssystemkrav | Manuell, inaktiverad | 1.1.0 |
| Upprätta en diskret radpost i budgeteringsdokumentationen | CMA_C1563 – Upprätta ett diskret radobjekt i budgeteringsdokumentationen | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett sekretessprogram | CMA_0257 – Upprätta ett sekretessprogram | Manuell, inaktiverad | 1.1.0 |
| Styra allokeringen av resurser | CMA_0293 – Styra resursallokeringen | Manuell, inaktiverad | 1.1.0 |
| Skydda engagemang från ledningen | CMA_0489 – Säkert engagemang från ledningen | Manuell, inaktiverad | 1.1.0 |
Livscykel för systemutveckling
ID: FedRAMP High SA-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera informationssäkerhetsroller och ansvarsområden | CMA_C1565 – Definiera säkerhetsroller och ansvarsområden för information | Manuell, inaktiverad | 1.1.0 |
| Identifiera personer med säkerhetsroller och ansvarsområden | CMA_C1566 – Identifiera personer med säkerhetsroller och ansvarsområden | Manuell, inaktiverad | 1.1.1 |
| Integrera riskhanteringsprocessen i SDLC | CMA_C1567 – Integrera riskhanteringsprocessen i SDLC | Manuell, inaktiverad | 1.1.0 |
Förvärvsprocess
ID: FedRAMP High SA-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
| Kriterier för godkännande av dokumentförvärvskontrakt | CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentskydd av personuppgifter i förvärvsavtal | CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
| Dokumentera skydd av säkerhetsinformation i förvärvsavtal | CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
| Dokumentkrav för användning av delade data i kontrakt | CMA_0197 – Dokumentkrav för användning av delade data i kontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentera säkerhetskrav i förvärvskontrakt | CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt | CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentera funktionskrav för säkerhet i förvärvskontrakt | CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Dokumentera skyddet av korthållardata i kontrakt från tredje part | CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt | Manuell, inaktiverad | 1.1.0 |
Funktionella egenskaper för säkerhetskontroller
ID: FedRAMP High SA-4 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hämta funktionella egenskaper för säkerhetskontroller | CMA_C1575 – Hämta funktionella egenskaper för säkerhetskontroller | Manuell, inaktiverad | 1.1.0 |
Design-/implementeringsinformation för säkerhetskontroller
ID: FedRAMP High SA-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hämta design- och implementeringsinformation för säkerhetskontrollerna | CMA_C1576 – Hämta information om design och implementering för säkerhetskontrollerna | Manuell, inaktiverad | 1.1.1 |
Plan för kontinuerlig övervakning
ID: FedRAMP High SA-4 (8) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Hämta en plan för kontinuerlig övervakning för säkerhetskontroller | CMA_C1577 – Få en kontinuerlig övervakningsplan för säkerhetskontroller | Manuell, inaktiverad | 1.1.0 |
Funktioner/portar/protokoll/Tjänster som används
ID: FedRAMP High SA-4 (9) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv att utvecklaren identifierar SDLC-portar, protokoll och tjänster | CMA_C1578 – Kräv att utvecklaren identifierar SDLC-portar, protokoll och tjänster | Manuell, inaktiverad | 1.1.0 |
Användning av godkända Piv-produkter
ID: FedRAMP High SA-4 (10) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda FIPS 201-godkänd teknik för PIV | CMA_C1579 – Använda FIPS 201-godkänd teknik för PIV | Manuell, inaktiverad | 1.1.0 |
Dokumentation om informationssystem
ID: FedRAMP High SA-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Distribuera dokumentation om informationssystem | CMA_C1584 – Distribuera dokumentation om informationssystem | Manuell, inaktiverad | 1.1.0 |
| Dokumentera kunddefinierade åtgärder | CMA_C1582 – Dokumentera kunddefinierade åtgärder | Manuell, inaktiverad | 1.1.0 |
| Hämta administratörsdokumentation | CMA_C1580 – Hämta administratörsdokumentation | Manuell, inaktiverad | 1.1.0 |
| Hämta dokumentation om användarsäkerhetsfunktionen | CMA_C1581 – Hämta dokumentation om användarsäkerhetsfunktionen | Manuell, inaktiverad | 1.1.0 |
| Skydda administratörs- och användardokumentation | CMA_C1583 – Skydda administratörs- och användardokumentation | Manuell, inaktiverad | 1.1.0 |
Tjänster för externt informationssystem
ID: FedRAMP High SA-9 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera och dokumentera myndighetstillsyn | CMA_C1587 – Definiera och dokumentera myndighetstillsyn | Manuell, inaktiverad | 1.1.0 |
| Kräv att externa tjänstleverantörer uppfyller säkerhetskraven | CMA_C1586 – Kräv att externa tjänstleverantörer uppfyller säkerhetskraven | Manuell, inaktiverad | 1.1.0 |
| Granska molntjänstleverantörens efterlevnad av principer och avtal | CMA_0469 – Granska molntjänstleverantörens efterlevnad av principer och avtal | Manuell, inaktiverad | 1.1.0 |
| Genomgå oberoende säkerhetsgranskning | CMA_0515 – Genomgå oberoende säkerhetsgranskning | Manuell, inaktiverad | 1.1.0 |
Riskbedömningar/organisationsgodkännanden
ID: FedRAMP High SA-9 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera risker i relationer från tredje part | CMA_0014 – Utvärdera risker i relationer från tredje part | Manuell, inaktiverad | 1.1.0 |
| Få godkännanden för förvärv och outsourcing | CMA_C1590 – Få godkännanden för förvärv och outsourcing | Manuell, inaktiverad | 1.1.0 |
Identifiering av funktioner/portar/protokoll/tjänster
ID: FedRAMP High SA-9 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera externa tjänstleverantörer | CMA_C1591 – Identifiera externa tjänstleverantörer | Manuell, inaktiverad | 1.1.0 |
Konsekventa intressen för konsumenter och leverantörer
ID: FedRAMP High SA-9 (4) Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att externa leverantörer konsekvent uppfyller kundernas intressen | CMA_C1592 – Se till att externa leverantörer konsekvent uppfyller kundernas intressen | Manuell, inaktiverad | 1.1.0 |
Bearbetning, lagring och tjänstplats
ID: FedRAMP High SA-9 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Begränsa platsen för informationsbearbetning, lagring och tjänster | CMA_C1593 – Begränsa platsen för informationsbearbetning, lagring och tjänster | Manuell, inaktiverad | 1.1.0 |
Konfigurationshantering för utvecklare
ID: FedRAMP High SA-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Åtgärda säkerhetsrisker för kodning | CMA_0003 – Åtgärda säkerhetsrisker för kodning | Manuell, inaktiverad | 1.1.0 |
| Utveckla och dokumentera programsäkerhetskrav | CMA_0148 – Utveckla och dokumentera programsäkerhetskrav | Manuell, inaktiverad | 1.1.0 |
| Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett säkert program för programutveckling | CMA_0259 – Upprätta ett säkert program för programvaruutveckling | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare dokumenterar godkända ändringar och potentiell påverkan | CMA_C1597 – Kräv att utvecklare dokumenterar godkända ändringar och potentiell påverkan | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare endast implementerar godkända ändringar | CMA_C1596 – Kräv att utvecklare endast implementerar godkända ändringar | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare hanterar ändringsintegritet | CMA_C1595 – Kräv att utvecklare hanterar ändringsintegritet | Manuell, inaktiverad | 1.1.0 |
Integritetsverifiering av programvara/inbyggd programvara
ID: FedRAMP High SA-10 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Säkerhetstestning och utvärdering för utvecklare
ID: FedRAMP High SA-11 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare ska ta fram bevis för körning av säkerhetsbedömningsplan | CMA_C1602 – Kräv att utvecklare skapar bevis för körning av säkerhetsbedömningsplan | Manuell, inaktiverad | 1.1.0 |
Skydd för leveranskedja
ID: FedRAMP High SA-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utvärdera risker i relationer från tredje part | CMA_0014 – Utvärdera risker i relationer från tredje part | Manuell, inaktiverad | 1.1.0 |
| Definiera krav för leverans av varor och tjänster | CMA_0126 – Definiera krav för leverans av varor och tjänster | Manuell, inaktiverad | 1.1.0 |
| Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
| Upprätta principer för riskhantering i leveranskedjan | CMA_0275 – Upprätta principer för riskhantering i leveranskedjan | Manuell, inaktiverad | 1.1.0 |
Utvecklingsprocess, standarder och verktyg
ID: FedRAMP High SA-15 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska utvecklingsprocessen, standarder och verktyg | CMA_C1610 – Granska utvecklingsprocessen, standarder och verktyg | Manuell, inaktiverad | 1.1.0 |
Utbildning som tillhandahålls av utvecklare
ID: FedRAMP High SA-16 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv att utvecklare tillhandahåller utbildning | CMA_C1611 – Kräv att utvecklare tillhandahåller utbildning | Manuell, inaktiverad | 1.1.0 |
Utvecklarens säkerhetsarkitektur och design
ID: FedRAMP High SA-17 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kräv att utvecklare skapar säkerhetsarkitektur | CMA_C1612 – Kräv att utvecklare skapar säkerhetsarkitektur | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare beskriver korrekta säkerhetsfunktioner | CMA_C1613 – Kräv att utvecklare beskriver korrekta säkerhetsfunktioner | Manuell, inaktiverad | 1.1.0 |
| Kräv att utvecklare tillhandahåller en enhetlig säkerhetsskyddsmetod | CMA_C1614 – Kräv att utvecklare tillhandahåller en enhetlig säkerhetsskyddsmetod | Manuell, inaktiverad | 1.1.0 |
System- och kommunikationsskydd
Principer och procedurer för system- och kommunikationsskydd
ID: FedRAMP High SC-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för system- och kommunikationsskydd | CMA_C1616 – Granska och uppdatera principer och procedurer för system- och kommunikationsskydd | Manuell, inaktiverad | 1.1.0 |
Programpartitionering
ID: FedRAMP High SC-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
| Separata funktioner för hantering av användar- och informationssystem | CMA_0493 – Separata funktioner för hantering av användar- och informationssystem | Manuell, inaktiverad | 1.1.0 |
| Använda dedikerade datorer för administrativa uppgifter | CMA_0527 – Använda dedikerade datorer för administrativa uppgifter | Manuell, inaktiverad | 1.1.0 |
Isolering av säkerhetsfunktion
ID: FedRAMP High SC-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
Överbelastningsskydd
ID: FedRAMP High SC-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, inaktiverad | 3.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Utveckla och dokumentera en DDoS-svarsplan | CMA_0147 – Utveckla och dokumentera en DDoS-svarsplan | Manuell, inaktiverad | 1.1.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Resurstillgänglighet
ID: FedRAMP High SC-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Styra allokeringen av resurser | CMA_0293 – Styra resursallokeringen | Manuell, inaktiverad | 1.1.0 |
| Hantera tillgänglighet och kapacitet | CMA_0356 – Hantera tillgänglighet och kapacitet | Manuell, inaktiverad | 1.1.0 |
| Skydda engagemang från ledningen | CMA_0489 – Säkert engagemang från ledningen | Manuell, inaktiverad | 1.1.0 |
Gränsskydd
ID: FedRAMP High SC-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.1-inaktuell |
| [Inaktuell]: Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.1-inaktuell |
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.1 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Åtkomstpunkter
ID: FedRAMP High SC-7 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granskning, inaktiverad | 1.0.1-inaktuell |
| [Inaktuell]: Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. | Granskning, inaktiverad | 3.0.1-inaktuell |
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas | Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| API Management-tjänster bör använda ett virtuellt nätverk | Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. | Granska, neka, inaktiverad | 1.0.2 |
| Appkonfiguration bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.1 |
| Azure AI Services-resurser bör begränsa nätverksåtkomsten | Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. | Granska, neka, inaktiverad | 3.2.0 |
| Azure API för FHIR bör använda privat länk | Azure API för FHIR bör ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Cache for Redis bör använda privat länk | Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk | Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Cosmos DB-konton ska ha brandväggsregler | Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. | Granska, neka, inaktiverad | 2.1.0 |
| Azure Data Factory bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Event Grid-domäner bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure Event Grid-ämnen bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. | Granskning, inaktiverad | 1.0.2 |
| Azure File Sync bör använda privat länk | När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Key Vault bör ha brandvägg aktiverat | Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security | Granska, neka, inaktiverad | 3.2.1 |
| Azure Key Vaults bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Granskning, inaktiverad | 1.0.0 |
| Azure Service Bus-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure SignalR Service bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Azure Synapse-arbetsytor bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Granskning, inaktiverad | 1.0.1 |
| Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
| Azure Web PubSub Service bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Web PubSub Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink. | Granskning, inaktiverad | 1.0.0 |
| Containerregister bör inte tillåta obegränsad nätverksåtkomst | Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Granska, neka, inaktiverad | 2.0.0 |
| Containerregister bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. | Granskning, inaktiverad | 1.0.1 |
| CosmosDB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Granskning, inaktiverad | 1.0.0 |
| Diskåtkomstresurser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Event Hub-namnområden bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. | Granskning, inaktiverad | 1.0.0 |
| IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
| Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. | Granskning, inaktiverad | 1.1.0 |
| Privat slutpunkt ska vara aktiverad för MariaDB-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för MySQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar | Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras | Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 1.1.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.0 |
| Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar | Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. | Granska, neka, inaktiverad | 2.0.1 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
| Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk | Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. | Granska, neka, inaktiverad | 1.0.1 |
| Lagringskonton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, inaktiverad | 2.0.0 |
| Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Mallar för VM Image Builder ska använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Granska, inaktiverad, Neka | 1.1.0 |
| Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Externa telekommunikationstjänster
ID: FedRAMP High SC-7 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera hanterat gränssnitt för varje extern tjänst | CMA_C1626 – Implementera hanterat gränssnitt för varje extern tjänst | Manuell, inaktiverad | 1.1.0 |
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
| Skydda gränssnittet mot externa system | CMA_0491 – Skydda gränssnittet mot externa system | Manuell, inaktiverad | 1.1.0 |
Förhindra delade tunnlar för fjärrenheter
ID: FedRAMP High SC-7 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Förhindra delade tunnlar för fjärrenheter | CMA_C1632 – Förhindra delade tunnlar för fjärrenheter | Manuell, inaktiverad | 1.1.0 |
Dirigera trafik till autentiserade proxyservrar
ID: FedRAMP High SC-7 (8) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dirigera trafik via autentiserat proxynätverk | CMA_C1633 – Dirigera trafik via autentiserat proxynätverk | Manuell, inaktiverad | 1.1.0 |
Värdbaserat skydd
ID: FedRAMP High SC-7 (12) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
Isolering av säkerhetsverktyg/mekanismer/stödkomponenter
ID: FedRAMP High SC-7 (13) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Isolera SecurID-system, säkerhetsincidenthanteringssystem | CMA_C1636 – Isolera SecurID-system, säkerhetsincidenthanteringssystem | Manuell, inaktiverad | 1.1.0 |
Felsäker
ID: FedRAMP High SC-7 (18) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
| Hantera överföringar mellan vänteläge och aktiva systemkomponenter | CMA_0371 – Hantera överföringar mellan vänteläge och aktiva systemkomponenter | Manuell, inaktiverad | 1.1.0 |
Dynamisk isolering/uppdelning
ID: FedRAMP High SC-7 (20) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att systemet kan isolera resurser dynamiskt | CMA_C1638 – Se till att systemet kan isolera resurser dynamiskt | Manuell, inaktiverad | 1.1.0 |
Isolering av informationssystemkomponenter
ID: FedRAMP High SC-7 (21) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda gränsskydd för att isolera informationssystem | CMA_C1639 – Använda gränsskydd för att isolera informationssystem | Manuell, inaktiverad | 1.1.0 |
Överföringssekretess och integritet
ID: FedRAMP High SC-8 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder | Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. | Granska, neka, inaktiverad | 1.0.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Kryptografiskt eller alternativt fysiskt skydd
ID: FedRAMP High SC-8 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder | Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. | Granska, neka, inaktiverad | 1.0.0 |
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Koppla från nätverk
ID: FedRAMP High SC-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Autentisera om eller avsluta en användarsession | CMA_0421 – Autentisera om eller avsluta en användarsession | Manuell, inaktiverad | 1.1.0 |
Etablering och hantering av kryptografisk nyckel
ID: FedRAMP High SC-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: IoT Hub-enhetsetableringstjänstdata ska krypteras med hjälp av kundhanterade nycklar (CMK) | Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub-enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. | Granska, neka, inaktiverad | 1.0.0-preview |
| Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. | Granska, neka, inaktiverad | 2.2.0 |
| Azure API för FHIR bör använda en kundhanterad nyckel för att kryptera vilande data | Använd en kundhanterad nyckel för att styra krypteringen i resten av de data som lagras i Azure API för FHIR när detta är ett regel- eller efterlevnadskrav. Kundhanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardvärdet som görs med tjänsthanterade nycklar. | audit, Audit, disabled, Disabled | 1.1.0 |
| Azure Automation-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Batch-kontot bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar för att hantera krypteringen i resten av batchkontots data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering | Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granska, inaktiverad, Neka | 1.0.0 |
| Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Data Box-jobb bör använda en kundhanterad nyckel för att kryptera lösenordet för enhetens upplåsning | Använd en kundhanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Advanced Encryption Standard 256-bitarskryptering, och lösenordet för enhetens upplåsning krypteras som standard med en Microsoft-hanterad nyckel. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel | Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. | Granska, neka, inaktiverad | 1.0.0 |
| Azure-datafabriker ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure HDInsight-kluster bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure HDInsight-kluster. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk. | Granska, neka, inaktiverad | 1.0.1 |
| Azure HDInsight-kluster bör använda kryptering på värden för att kryptera vilande data | Genom att aktivera kryptering på värden kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorvärden i vila och flöden krypteras till lagringstjänsten. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.1.0 |
| Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel | Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Loggdata krypteras som standard med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data | Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Bot Service ska krypteras med en kundhanterad nyckel | Azure Bot Service krypterar automatiskt din resurs för att skydda dina data och uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard används Microsoft-hanterade krypteringsnycklar. Om du vill ha större flexibilitet när det gäller att hantera nycklar eller kontrollera åtkomsten till din prenumeration väljer du kundhanterade nycklar, även kallat BYOK (Bring Your Own Key). Läs mer om Azure Bot Service-kryptering: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
| Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
| Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
| Event Hub-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Event Hubs stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i ditt namnområde. Observera att Event Hub endast stöder kryptering med kundhanterade nycklar för namnområden i dedikerade kluster. | Granskning, inaktiverad | 1.0.0 |
| HPC Cache-konton bör använda kundhanterad nyckel för kryptering | Hantera kryptering i resten av Azure HPC Cache med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, inaktiverad, Neka | 2.0.0 |
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
| Logic Apps Integration Service Environment ska krypteras med kundhanterade nycklar | Distribuera till Integration Service Environment för att hantera kryptering i resten av Logic Apps-data med hjälp av kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | Granska, neka, inaktiverad | 1.0.0 |
| Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
| Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. | Granska, neka, inaktiverad | 1.0.0 |
| MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
| OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. | Granska, neka, inaktiverad | 3.0.0 |
| PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
| Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
| Sparade frågor i Azure Monitor ska sparas i kundens lagringskonto för loggkryptering | Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med lagringskontokryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queriesfinns i . | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Service Bus Premium-namnområden bör använda en kundhanterad nyckel för kryptering | Azure Service Bus stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i ditt namnområde. Observera att Service Bus endast stöder kryptering med kundhanterade nycklar för premiumnamnområden. | Granskning, inaktiverad | 1.0.0 |
| SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
| SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
| Krypteringsomfång för lagringskonto bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Med kundhanterade nycklar kan data krypteras med en Nyckelvalvsnyckel i Azure som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. | Granska, neka, inaktiverad | 1.0.0 |
| Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
Tillgänglighet
ID: FedRAMP High SC-12 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Underhålla tillgängligheten för information | CMA_C1644 – Upprätthålla tillgängligheten för information | Manuell, inaktiverad | 1.1.0 |
Symmetriska nycklar
ID: FedRAMP High SC-12 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Producera, kontrollera och distribuera symmetriska kryptografiska nycklar | CMA_C1645 – Producera, kontrollera och distribuera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
Asymmetriska nycklar
ID: FedRAMP High SC-12 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Producera, kontrollera och distribuera asymmetriska kryptografiska nycklar | CMA_C1646 – Producera, kontrollera och distribuera asymmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
Kryptografiskt skydd
ID: FedRAMP High SC-13 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
Enheter för samarbetsbaserad databehandling
ID: FedRAMP High SC-15 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Meddela uttryckligen användningen av enheter för samarbetsbaserad databehandling | CMA_C1649 – Meddela uttryckligen användningen av enheter för samarbetsbaserad databehandling | Manuell, inaktiverad | 1.1.1 |
| Förhindra fjärraktivering av enheter för samarbetsbaserad databehandling | CMA_C1648 – Förhindra fjärraktivering av enheter för samarbetsbaserad databehandling | Manuell, inaktiverad | 1.1.0 |
Certifikat för offentlig nyckelinfrastruktur
ID: FedRAMP High SC-17 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
Mobilkod
ID: FedRAMP High SC-18 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera, övervaka och kontrollera användningen av mobil kodtekniker | CMA_C1653 – Auktorisera, övervaka och kontrollera användningen av mobil kodtekniker | Manuell, inaktiverad | 1.1.0 |
| Definiera godtagbara och oacceptabla tekniker för mobilkod | CMA_C1651 – Definiera godtagbara och oacceptabla tekniker för mobilkod | Manuell, inaktiverad | 1.1.0 |
| Upprätta användningsbegränsningar för teknik för mobil kod | CMA_C1652 – Upprätta användningsbegränsningar för mobil kodtekniker | Manuell, inaktiverad | 1.1.0 |
Voice Over Internet Protocol
ID: FedRAMP High SC-19 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera, övervaka och kontrollera voip | CMA_0025 – Auktorisera, övervaka och kontrollera voip | Manuell, inaktiverad | 1.1.0 |
| Upprätta begränsningar för voip-användning | CMA_0280 – Upprätta begränsningar för voip-användning | Manuell, inaktiverad | 1.1.0 |
Säker namn-/adressmatchningstjänst (auktoritativ källa)
ID: FedRAMP High SC-20 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera ett feltolerant namn/adresstjänst | CMA_0305 – Implementera en feltolerant namn/adresstjänst | Manuell, inaktiverad | 1.1.0 |
| Tillhandahålla säkra namn- och adressmatchningstjänster | CMA_0416 – Tillhandahålla säkra namn- och adressmatchningstjänster | Manuell, inaktiverad | 1.1.0 |
Secure Name/Address Resolution Service (Rekursiv eller cachelagringslösning)
ID: FedRAMP High SC-21 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera ett feltolerant namn/adresstjänst | CMA_0305 – Implementera en feltolerant namn/adresstjänst | Manuell, inaktiverad | 1.1.0 |
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Arkitektur och etablering för namn/adressmatchningstjänst
ID: FedRAMP High SC-22 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Implementera ett feltolerant namn/adresstjänst | CMA_0305 – Implementera en feltolerant namn/adresstjänst | Manuell, inaktiverad | 1.1.0 |
Sessionsautenticitet
ID: FedRAMP High SC-23 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
| Framtvinga slumpmässiga unika sessionsidentifierare | CMA_0247 – Framtvinga slumpmässiga unika sessionsidentifierare | Manuell, inaktiverad | 1.1.0 |
Ogiltigförklara sessionsidentifierare vid utloggning
ID: FedRAMP High SC-23 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Ogiltigförklara sessionsidentifierare vid utloggning | CMA_C1661 – Ogiltigförklara sessionsidentifierare vid utloggning | Manuell, inaktiverad | 1.1.0 |
Fel i känt tillstånd
ID: FedRAMP High SC-24 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Se till att informationssystemet misslyckas i känt tillstånd | CMA_C1662 – Se till att informationssystemet misslyckas i känt tillstånd | Manuell, inaktiverad | 1.1.0 |
Skydd av vilande information
ID: FedRAMP High SC-28 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) | Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stack Edge-enheter bör använda dubbelkryptering | För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
| Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL-servrar | Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
Kryptografiskt skydd
ID: FedRAMP High SC-28 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
| Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten | Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) | Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Stack Edge-enheter bör använda dubbelkryptering | För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Diskkryptering ska vara aktiverat i Azure Data Explorer | Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. | Granska, neka, inaktiverad | 2.0.0 |
| Dubbel kryptering ska aktiveras i Azure Data Explorer | Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. | Granska, neka, inaktiverad | 2.0.0 |
| Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
| Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL-servrar | Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. | Granska, neka, inaktiverad | 1.0.0 |
| Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL-servrar | Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar | Granska, neka, inaktiverad | 1.0.0 |
| Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
| Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
| Lagringskonton ska ha infrastrukturkryptering | Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. | Granska, neka, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. | Granska, neka, inaktiverad | 1.0.0 |
Processisolering
ID: FedRAMP High SC-39 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Underhålla separata körningsdomäner för processer som körs | CMA_C1665 – Underhålla separata körningsdomäner för processer som körs | Manuell, inaktiverad | 1.1.0 |
System- och informationsintegritet
Policy och procedurer för system- och informationsintegritet
ID: FedRAMP High SI-1 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska och uppdatera principer och procedurer för informationsintegritet | CMA_C1667 – Granska och uppdatera principer och procedurer för informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Felreparation
ID: FedRAMP High SI-2 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Införliva felreparation i konfigurationshantering | CMA_C1671 – Införliva felreparation i konfigurationshanteringen | Manuell, inaktiverad | 1.1.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
Status för automatisk felreparation
ID: FedRAMP High SI-2 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Automatisera reparation av fel | CMA_0027 – Automatisera felreparation | Manuell, inaktiverad | 1.1.0 |
| Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Tid för att åtgärda fel/riktmärken för korrigerande åtgärder
ID: FedRAMP High SI-2 (3) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Upprätta riktmärken för felreparation | CMA_C1675 – Upprätta riktmärken för felreparation | Manuell, inaktiverad | 1.1.0 |
| Mäta tiden mellan felidentifiering och felreparation | CMA_C1674 – Mäta tiden mellan felidentifiering och felreparation | Manuell, inaktiverad | 1.1.0 |
Skydd mot skadlig kod
ID: FedRAMP High SI-3 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
Central hantering
ID: FedRAMP High SI-3 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
Automatiska uppdateringar
ID: FedRAMP High SI-3 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Icke-signaturbaserad identifiering
ID: FedRAMP High SI-3 (7) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
| Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
| Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Övervakning av informationssystem
ID: FedRAMP High SI-4 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer | Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer | Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 1.0.1-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Få juridiska utlåtanden för övervakningssystemaktiviteter | CMA_C1688 – Få juridiska utlåtanden för övervakningssystemaktiviteter | Manuell, inaktiverad | 1.1.0 |
| Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
| Ange övervakningsinformation efter behov | CMA_C1689 – Ange övervakningsinformation efter behov | Manuell, inaktiverad | 1.1.0 |
| Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Automatiserade verktyg för realtidsanalys
ID: FedRAMP High SI-4 (2) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentsäkerhetsåtgärder | CMA_0202 – Dokumentsäkerhetsåtgärder | Manuell, inaktiverad | 1.1.0 |
| Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
Inkommande och utgående kommunikationstrafik
ID: FedRAMP High SI-4 (4) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Auktorisera, övervaka och kontrollera voip | CMA_0025 – Auktorisera, övervaka och kontrollera voip | Manuell, inaktiverad | 1.1.0 |
| Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
| Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
| Dirigera trafik via hanterade nätverksåtkomstpunkter | CMA_0484 – Dirigera trafik via hanterade nätverksåtkomstpunkter | Manuell, inaktiverad | 1.1.0 |
Systemgenererade aviseringar
ID: FedRAMP High SI-4 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Aviseringspersonal om informationsspill | CMA_0007 – Avisera personal om informationsspill | Manuell, inaktiverad | 1.1.0 |
| Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
| Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Identifiering av trådlösa intrång
ID: FedRAMP High SI-4 (14) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Dokumentera säkerhetskontroller för trådlös åtkomst | CMA_C1695 – Dokumentera säkerhetskontroller för trådlös åtkomst | Manuell, inaktiverad | 1.1.0 |
Obehöriga nätverkstjänster
ID: FedRAMP High SI-4 (22) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
Indikatorer för kompromiss
ID: FedRAMP High SI-4 (24) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Identifiera eventuella indikatorer på kompromisser | CMA_C1702 – Identifiera eventuella indikatorer på kompromisser | Manuell, inaktiverad | 1.1.0 |
Säkerhetsaviseringar, rekommendationer och direktiv
ID: FedRAMP High SI-5 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Sprida säkerhetsaviseringar till personal | CMA_C1705 – Sprida säkerhetsaviseringar till personal | Manuell, inaktiverad | 1.1.0 |
| Upprätta ett program för hotinformation | CMA_0260 – Upprätta ett program för hotinformation | Manuell, inaktiverad | 1.1.0 |
| Generera interna säkerhetsaviseringar | CMA_C1704 – Generera interna säkerhetsaviseringar | Manuell, inaktiverad | 1.1.0 |
| Implementera säkerhetsdirektiv | CMA_C1706 – Implementera säkerhetsdirektiv | Manuell, inaktiverad | 1.1.0 |
Automatiserade aviseringar och rekommendationer
ID: FedRAMP High SI-5 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använda automatiserade mekanismer för säkerhetsaviseringar | CMA_C1707 – Använda automatiserade mekanismer för säkerhetsaviseringar | Manuell, inaktiverad | 1.1.0 |
Verifiering av säkerhetsfunktion
ID: FedRAMP High SI-6 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Skapa alternativa åtgärder för identifierade avvikelser | CMA_C1711 – Skapa alternativa åtgärder för identifierade avvikelser | Manuell, inaktiverad | 1.1.0 |
| Meddela personalen om misslyckade säkerhetsverifieringstester | CMA_C1710 – Meddela personalen om misslyckade säkerhetsverifieringstester | Manuell, inaktiverad | 1.1.0 |
| Utföra verifiering av säkerhetsfunktioner med en definierad frekvens | CMA_C1709 – Utföra verifiering av säkerhetsfunktioner med en definierad frekvens | Manuell, inaktiverad | 1.1.0 |
| Verifiera säkerhetsfunktioner | CMA_C1708 – Verifiera säkerhetsfunktioner | Manuell, inaktiverad | 1.1.0 |
Programvara, inbyggd programvara och informationsintegritet
ID: FedRAMP High SI-7 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Integritetskontroller
ID: FedRAMP High SI-7 (1) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
| Visa och konfigurera systemdiagnostikdata | CMA_0544 – Visa och konfigurera systemdiagnostikdata | Manuell, inaktiverad | 1.1.0 |
Automatiserat svar på integritetsöverträdelser
ID: FedRAMP High SI-7 (5) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Använd automatisk avstängning/omstart när överträdelser identifieras | CMA_C1715 – Använd automatisk avstängning/omstart när överträdelser identifieras | Manuell, inaktiverad | 1.1.0 |
Binär kod eller körbar datorkod
ID: FedRAMP High SI-7 (14) Ägarskap: Delat
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Förhindra binär/dator-körbar kod | CMA_C1717 – Förhindra binär/dator-körbar kod | Manuell, inaktiverad | 1.1.0 |
Validering av informationsindata
ID: FedRAMP High SI-10 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Utföra verifiering av informationsindata | CMA_C1723 – Utföra verifiering av informationsindata | Manuell, inaktiverad | 1.1.0 |
Felhantering
ID: FedRAMP High SI-11 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Generera felmeddelanden | CMA_C1724 – Generera felmeddelanden | Manuell, inaktiverad | 1.1.0 |
| Visa felmeddelanden | CMA_C1725 – Visa felmeddelanden | Manuell, inaktiverad | 1.1.0 |
Informationshantering och kvarhållning
ID: FedRAMP High SI-12 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
| Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
| Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Minnesskydd
ID: FedRAMP High SI-16 Ownership: Shared
| Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
| Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.