Dela via


Information om det inbyggda initiativet NIST SP 800-171 R2 (Azure Government) Regulatory Compliance

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i NIST SP 800-171 R2 (Azure Government). Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar är till NIST SP 800-171 R2-kontrollerna . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen NIST SP 800-171 Rev. 2 Regulatory Compliance.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Åtkomstkontroll

Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system).

ID: NIST SP 800-171 R2 3.1.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, inaktiverad 1.4.0
Granska Linux-datorer som har konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord AuditIfNotExists, inaktiverad 1.4.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 2.4.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Lagringskonton ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0

Övervaka och kontrollera fjärråtkomstsessioner.

ID: NIST SP 800-171 R2 3.1.12 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, inaktiverad 1.4.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0

Använd kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner.

ID: NIST SP 800-171 R2 3.1.13 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0

Dirigera fjärråtkomst via hanterade åtkomstkontrollpunkter.

ID: NIST SP 800-171 R2 3.1.14 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0

Begränsa systemåtkomsten till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra.

ID: NIST SP 800-171 R2 3.1.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Lagringskonton ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0

Kontrollera flödet av CUI i enlighet med godkända auktoriseringar.

ID: NIST SP 800-171 R2 3.1.3 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.0
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.1.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 1.4.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0

Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi.

ID: NIST SP 800-171 R2 3.1.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton.

ID: NIST SP 800-171 R2 3.1.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1

Riskbedömning

Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras.

ID: NIST SP 800-171 R2 3.11.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0
Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. AuditIfNotExists, inaktiverad 1.0.0

Åtgärda sårbarheter i enlighet med riskbedömningar.

ID: NIST SP 800-171 R2 3.11.3 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0
Sårbarhetsbedömning ska aktiveras på dina Synapse-arbetsytor Identifiera, spåra och åtgärda potentiella säkerhetsrisker genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på dina Synapse-arbetsytor. AuditIfNotExists, inaktiverad 1.0.0

System- och kommunikationsskydd

Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem.

ID: NIST SP 800-171 R2 3.13.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.0
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.1.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 1.4.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem.

ID: NIST SP 800-171 R2 3.13.10 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-preview
[Förhandsversion]: IoT Hub-enhetsetableringstjänstdata ska krypteras med hjälp av kundhanterade nycklar (CMK) Använd kundhanterade nycklar för att hantera krypteringen i resten av IoT Hub-enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänsthanterade nycklar, men kundhanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. CMK:er gör att data kan krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK. Granska, neka, inaktiverad 1.0.0-preview
Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. Granska, neka, inaktiverad 2.2.0
Azure Automation-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation-konton. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/automation-cmk. Granska, neka, inaktiverad 1.0.0
Azure Batch-kontot bör använda kundhanterade nycklar för att kryptera data Använd kundhanterade nycklar för att hantera krypteringen i resten av batchkontots data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK. Granska, neka, inaktiverad 1.0.1
Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granska, inaktiverad, Neka 1.0.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Data Box-jobb bör använda en kundhanterad nyckel för att kryptera lösenordet för enhetens upplåsning Använd en kundhanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Advanced Encryption Standard 256-bitarskryptering, och lösenordet för enhetens upplåsning krypteras som standard med en Microsoft-hanterad nyckel. Granska, neka, inaktiverad 1.0.0
Azure Data Explorer-kryptering i vila bör använda en kundhanterad nyckel Om du aktiverar kryptering i vila med hjälp av en kundhanterad nyckel i ditt Azure Data Explorer-kluster får du ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav och kräver ett Key Vault för att hantera nycklarna. Granska, neka, inaktiverad 1.0.0
Azure-datafabriker ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk. Granska, neka, inaktiverad 1.0.1
Azure HDInsight-kluster bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure HDInsight-kluster. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk. Granska, neka, inaktiverad 1.0.1
Azure HDInsight-kluster bör använda kryptering på värden för att kryptera vilande data Genom att aktivera kryptering på värden kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorvärden i vila och flöden krypteras till lagringstjänsten. Granska, neka, inaktiverad 1.0.0
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. Granska, neka, inaktiverad 1.1.0
Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Loggdata krypteras som standard med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Stream Analytics-jobb bör använda kundhanterade nycklar för att kryptera data Använd kundhanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics-jobb i ditt lagringskonto. Detta ger dig total kontroll över hur dina Stream Analytics-data krypteras. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Synapse-arbetsytor bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att styra krypteringen i resten av de data som lagras på Azure Synapse-arbetsytor. Kundhanterade nycklar levererar dubbel kryptering genom att lägga till ett andra krypteringslager ovanpå standardkryptering med tjänsthanterade nycklar. Granska, neka, inaktiverad 1.0.0
Bot Service ska krypteras med en kundhanterad nyckel Azure Bot Service krypterar automatiskt din resurs för att skydda dina data och uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard används Microsoft-hanterade krypteringsnycklar. Om du vill ha större flexibilitet när det gäller att hantera nycklar eller kontrollera åtkomsten till din prenumeration väljer du kundhanterade nycklar, även kallat BYOK (Bring Your Own Key). Läs mer om Azure Bot Service-kryptering: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. Granska, neka, inaktiverad 1.0.1
Containerregister ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. Granska, neka, inaktiverad 1.1.2
Event Hub-namnområden bör använda en kundhanterad nyckel för kryptering Azure Event Hubs stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i ditt namnområde. Observera att Event Hub endast stöder kryptering med kundhanterade nycklar för namnområden i dedikerade kluster. Granskning, inaktiverad 1.0.0
Logic Apps Integration Service Environment ska krypteras med kundhanterade nycklar Distribuera till Integration Service Environment för att hantera kryptering i resten av Logic Apps-data med hjälp av kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, neka, inaktiverad 1.0.0
Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. Granska, neka, inaktiverad 1.0.0
OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. Granska, neka, inaktiverad 3.0.0
Sparade frågor i Azure Monitor ska sparas i kundens lagringskonto för loggkryptering Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med lagringskontokryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queriesfinns i . audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Service Bus Premium-namnområden bör använda en kundhanterad nyckel för kryptering Azure Service Bus stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med hjälp av kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i ditt namnområde. Observera att Service Bus endast stöder kryptering med kundhanterade nycklar för premiumnamnområden. Granskning, inaktiverad 1.0.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Krypteringsomfång för lagringskonto bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Med kundhanterade nycklar kan data krypteras med en Nyckelvalvsnyckel i Azure som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. Granska, neka, inaktiverad 1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3

Skydda konfidentialiteten för CUI i vila.

ID: NIST SP 800-171 R2 3.13.16 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-miljön ska ha intern kryptering aktiverat Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Granskning, inaktiverad 1.0.1
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras Granska, neka, inaktiverad 1.1.0
Azure Data Box-jobb bör aktivera dubbel kryptering för vilande data på enheten Aktivera ett andra lager av programvarubaserad kryptering för vilande data på enheten. Enheten är redan skyddad via Avancerad kryptering Standard 256-bitars kryptering för vilande data. Det här alternativet lägger till ett andra lager datakryptering. Granska, neka, inaktiverad 1.0.0
Azure Monitor Logs-kluster ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) Använd ett dedikeradt Azure Monitor-kluster för att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Stack Edge-enheter bör använda dubbelkryptering För att skydda vilande data på enheten kontrollerar du att de är dubbelkrypterade, åtkomsten till data kontrolleras och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Diskkryptering ska vara aktiverat i Azure Data Explorer Genom att aktivera diskkryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Granska, neka, inaktiverad 2.0.0
Dubbel kryptering ska aktiveras i Azure Data Explorer Genom att aktivera dubbel kryptering kan du skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. Granska, neka, inaktiverad 2.0.0
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt Granska, neka, inaktiverad 1.1.0
Lagringskonton ska ha infrastrukturkryptering Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. Granska, neka, inaktiverad 1.0.0
Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. Granska, neka, inaktiverad 1.0.1
transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven AuditIfNotExists, inaktiverad 2.0.0
Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. Granska, neka, inaktiverad 1.0.0

Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem.

ID: NIST SP 800-171 R2 3.13.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.0
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.1.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 1.4.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk.

ID: NIST SP 800-171 R2 3.13.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Azure Cognitive tjänsten Search bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Cognitive Search minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granskning, inaktiverad 1.0.1-inaktuell
[Inaktuell]: Cognitive Services bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800. Granskning, inaktiverad 3.0.1-inaktuell
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.0
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Cache for Redis bör använda privat länk Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Azure Cache for Redis-instanser minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Cognitive tjänsten Search bör använda en SKU som stöder privat länk Med SKU:er som stöds i Azure Cognitive Search kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din tjänsten Search minskas risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.1.0
Azure Data Factory bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, inaktiverad 1.0.0
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 1.4.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Service Bus-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Service Bus-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Azure SignalR Service bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Azure SignalR Service-resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink. Granskning, inaktiverad 1.0.0
Azure Synapse-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Synapse-arbetsytan minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Granskning, inaktiverad 1.0.1
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
CosmosDB-konton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Granskning, inaktiverad 1.0.0
Diskåtkomstresurser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till diskAccesses minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, inaktiverad 1.0.0
Event Hub-namnområden bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Hub-namnområden minskas risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IoT Hub-enhetsetableringstjänstinstanser bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till IoT Hub-enhetsetableringstjänsten minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet. Granskning, inaktiverad 1.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag).

ID: NIST SP 800-171 R2 3.13.6 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.0
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Cognitive tjänsten Search s bör inaktivera åtkomst till offentliga nätverk Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att säkerställa att din Azure Cognitive tjänsten Search inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Granska, neka, inaktiverad 1.0.0
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel definierad med det virtuella nätverksfiltret aktiverat anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.1.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 1.4.1
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder.

ID: NIST SP 800-171 R2 3.13.8 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Azure HDInsight-kluster bör använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight-klusternoder Data kan manipuleras vid överföring mellan Azure HDInsight-klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under den här överföringen. Granska, neka, inaktiverad 1.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 3.0.1

System- och informationsintegritet

Identifiera, rapportera och korrigera systemfel i tid.

ID: NIST SP 800-171 R2 3.14.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Funktionsappar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granskning, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 1.1.1

Ge skydd mot skadlig kod på angivna platser i organisationens system.

ID: NIST SP 800-171 R2 3.14.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. AuditIfNotExists, inaktiverad 1.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 1.1.1

Övervaka systemsäkerhetsaviseringar och rekommendationer och vidta åtgärder som svar.

ID: NIST SP 800-171 R2 3.14.3 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga.

ID: NIST SP 800-171 R2 3.14.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. AuditIfNotExists, inaktiverad 1.0.0
Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. AuditIfNotExists, inaktiverad 1.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 1.1.1

Utföra regelbundna genomsökningar av organisationssystem och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs.

ID: NIST SP 800-171 R2 3.14.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware Protection-signaturer. AuditIfNotExists, inaktiverad 1.0.0
Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar Den här principen granskar alla virtuella Windows-server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. AuditIfNotExists, inaktiverad 1.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 1.1.1

Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker.

ID: NIST SP 800-171 R2 3.14.6 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 4.0.1-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Identifiera obehörig användning av organisationssystem.

ID: NIST SP 800-171 R2 3.14.7 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 4.0.1-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Granskning och ansvarsskyldighet

Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet

ID: NIST SP 800-171 R2 3.3.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 4.0.1-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service-appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granskning på SQL-servern ska vara aktiverad Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.1.0
Resursloggar i tjänsten Search ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. AuditIfNotExists, inaktiverad 3.0.0
Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0
Virtuella datorer bör ha Log Analytics-tillägget installerat Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder.

ID: NIST SP 800-171 R2 3.3.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 4.0.1-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service-appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granskning på SQL-servern ska vara aktiverad Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.1.0
Resursloggar i tjänsten Search ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. AuditIfNotExists, inaktiverad 3.0.0
Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar Den här principen granskar alla Vm-skalningsuppsättningar för Windows/Linux om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1
Virtuella datorer ska vara anslutna till en angiven arbetsyta Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0
Virtuella datorer bör ha Log Analytics-tillägget installerat Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Avisering i händelse av ett fel i granskningsloggningsprocessen.

ID: NIST SP 800-171 R2 3.3.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4

Korrelera gransknings-, analys- och rapporteringsprocesser för undersökning och svar på indikationer på olaglig, obehörig, misstänkt eller ovanlig aktivitet.

ID: NIST SP 800-171 R2 3.3.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Lagring (klassisk) ska vara aktiverat Microsoft Defender for Storage (klassisk) ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.4

Konfigurationshantering

Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling.

ID: NIST SP 800-171 R2 3.4.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Granskning, inaktiverad 1.0.2
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 1.5.0
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 1.0.0

Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem.

ID: NIST SP 800-171 R2 3.4.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Granskning, inaktiverad 1.0.2
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 1.5.0
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 1.0.0

Använd principen om minsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner.

ID: NIST SP 800-171 R2 3.4.6 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3

Identifiering och autentisering

Identifiera systemanvändare, processer som agerar på uppdrag av användare och enheter.

ID: NIST SP 800-171 R2 3.5.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Lagra och överför endast kryptografiskt skyddade lösenord.

ID: NIST SP 800-171 R2 3.5.10 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 AuditIfNotExists, inaktiverad 1.4.0
Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering AuditIfNotExists, inaktiverad 1.0.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0

Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem.

ID: NIST SP 800-171 R2 3.5.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 AuditIfNotExists, inaktiverad 1.4.0
Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering AuditIfNotExists, inaktiverad 1.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 2.4.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.4.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Använda multifaktorautentisering för lokal åtkomst och nätverksåtkomst till privilegierade konton och för nätverksåtkomst till icke-privilegierade konton

ID: NIST SP 800-171 R2 3.5.3 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0

Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton.

ID: NIST SP 800-171 R2 3.5.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" Windows-datorer bör ha de angivna grupprincip inställningarna i kategorin "Säkerhetsalternativ – nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att kraven för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0

Förhindra återanvändning av identifierare under en definierad period.

ID: NIST SP 800-171 R2 3.5.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Inaktivera identifierare efter en definierad inaktivitetsperiod.

ID: NIST SP 800-171 R2 3.5.6 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) Nyckelåtkomst (lokal autentisering) rekommenderas att inaktiveras för säkerhet. Azure OpenAI Studio, som vanligtvis används i utveckling/testning, kräver nyckelåtkomst och fungerar inte om nyckelåtkomst är inaktiverad. Efter inaktivering blir Microsoft Entra-ID den enda åtkomstmetoden, vilket gör det möjligt att upprätthålla minimiprivilegier och detaljerad kontroll. Läs mer på: https://aka.ms/AI/auth Granska, neka, inaktiverad 1.1.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas.

ID: NIST SP 800-171 R2 3.5.7 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad AuditIfNotExists, inaktiverad 1.0.0
Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken AuditIfNotExists, inaktiverad 1.1.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0

Förhindra återanvändning av lösenord för ett angivet antal generationer.

ID: NIST SP 800-171 R2 3.5.8 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. modify 1.3.0
Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 AuditIfNotExists, inaktiverad 1.1.0
Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. deployIfNotExists 1.2.0

Incidenthantering

Spåra, dokumentera och rapportera incidenter till utsedda tjänstemän och/eller myndigheter både interna och externa till organisationen.

ID: NIST SP 800-171 R2 3.6.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Medieskydd

Skydda konfidentialiteten för CUI för säkerhetskopiering på lagringsplatser.

ID: NIST SP 800-171 R2 3.8.9 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Nyckelvalv bör ha borttagningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. Granska, neka, inaktiverad 2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0

Nästa steg

Ytterligare artiklar om Azure Policy: