[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. |
Granskning, inaktiverad |
1.0.1-inaktuell |
[Inaktuell]: Cognitive Services bör använda privat länk |
Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. |
Granskning, inaktiverad |
3.0.1-inaktuell |
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn |
Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. |
AuditIfNotExists, inaktiverad |
3.0.0 |
API Management-tjänster bör använda ett virtuellt nätverk |
Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. |
Granska, neka, inaktiverad |
1.0.2 |
Appkonfiguration bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. |
AuditIfNotExists, inaktiverad |
1.0.2 |
Auktoriserade IP-intervall ska definieras i Kubernetes Services |
Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. |
Granskning, inaktiverad |
2.0.0 |
Azure AI Services-resurser bör begränsa nätverksåtkomsten |
Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. |
Granska, neka, inaktiverad |
3.2.0 |
Azure Cache for Redis bör använda privat länk |
Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk |
Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. |
Granska, neka, inaktiverad |
1.0.0 |
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk |
Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. |
Granska, neka, inaktiverad |
1.0.0 |
Azure Cosmos DB-konton ska ha brandväggsregler |
Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. |
Granska, neka, inaktiverad |
2.1.0 |
Azure Data Factory bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Azure Event Grid-domäner bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. |
Granskning, inaktiverad |
1.0.2 |
Azure Event Grid-ämnen bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. |
Granskning, inaktiverad |
1.0.2 |
Azure File Sync bör använda privat länk |
När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Azure Key Vault bör ha brandvägg aktiverat |
Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security |
Granska, neka, inaktiverad |
1.4.1 |
Azure Machine Learning-arbetsytor bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. |
Granskning, inaktiverad |
1.0.0 |
Azure Service Bus-namnområden bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Azure SignalR Service bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. |
Granskning, inaktiverad |
1.0.0 |
Azure Synapse-arbetsytor bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. |
Granskning, inaktiverad |
1.0.1 |
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter |
Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. |
Granska, neka, inaktiverad |
1.0.2 |
Containerregister bör inte tillåta obegränsad nätverksåtkomst |
Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. |
Granska, neka, inaktiverad |
2.0.0 |
Containerregister bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. |
Granskning, inaktiverad |
1.0.1 |
CosmosDB-konton bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. |
Granskning, inaktiverad |
1.0.0 |
Diskåtkomstresurser bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Event Hub-namnområden bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. |
AuditIfNotExists, inaktiverad |
1.0.0 |
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper |
Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc |
AuditIfNotExists, inaktiverad |
3.0.0 |
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. |
Granskning, inaktiverad |
1.0.0 |
IP-vidarebefordran på den virtuella datorn bör inaktiveras |
Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. |
AuditIfNotExists, inaktiverad |
3.0.0 |
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk |
Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer |
AuditIfNotExists, inaktiverad |
3.0.0 |
Hanteringsportar bör stängas på dina virtuella datorer |
Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. |
AuditIfNotExists, inaktiverad |
3.0.0 |
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper |
Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc |
AuditIfNotExists, inaktiverad |
3.0.0 |
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade |
Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. |
Granskning, inaktiverad |
1.1.0 |
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras |
Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. |
Granska, neka, inaktiverad |
1.1.0 |
Lagringskonton bör begränsa nätverksåtkomsten |
Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet |
Granska, neka, inaktiverad |
1.1.1 |
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk |
Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. |
Granska, neka, inaktiverad |
1.0.1 |
Lagringskonton bör använda privat länk |
Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview |
AuditIfNotExists, inaktiverad |
2.0.0 |
Undernät ska associeras med en nätverkssäkerhetsgrupp |
Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. |
AuditIfNotExists, inaktiverad |
3.0.0 |
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway |
Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. |
Granska, neka, inaktiverad |
2.0.0 |