Information om det inbyggda initiativet IRS 1075 September 2016 Regulatory Compliance
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i IRS 1075 september 2016. Mer information om den här efterlevnadsstandarden finns i IRS 1075 september 2016. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.
Följande mappningar gäller kontrollerna för IRS 1075 september 2016 . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen IRS1075 september 2016 .
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Åtkomstkontroll
Fjärråtkomst (AC-17)
ID: IRS 1075 9.3.1.12
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Kontohantering (AC-2)
ID: IRS 1075 9.3.1.2
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En Azure Active Directory-administratör bör etableras för SQL-servrar | Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | AuditIfNotExists, inaktiverad | 1.0.0 |
| Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
| Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering | Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric | Granska, neka, inaktiverad | 1.1.0 |
Tillämpning av informationsflöde (AC-4)
ID: IRS 1075 9.3.1.4
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
Ansvarsfördelning (AC-5)
ID: IRS 1075 9.3.1.5
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Lägsta behörighet (AC-6)
ID: IRS 1075 9.3.1.6
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. | auditIfNotExists | 2.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Riskbedömning
Sårbarhetsgenomsökning (RA-5)
ID: IRS 1075 9.3.14.3
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
System- och kommunikationsskydd
Skydd av information i vila (SC-28)
ID: IRS 1075 9.3.16.15
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, inaktiverad | 2.0.3 |
Denial of Service Protection (SC-5)
ID: IRS 1075 9.3.16.4
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection ska vara aktiverat | DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. | AuditIfNotExists, inaktiverad | 3.0.1 |
Gränsskydd (SC-7)
ID: IRS 1075 9.3.16.5
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer | Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan | AuditIfNotExists, inaktiverad | 3.0.0 |
| Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Lagringskonton bör begränsa nätverksåtkomsten | Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet | Granska, neka, inaktiverad | 1.1.1 |
Sekretess och integritet för överföring (SC-8)
ID: IRS 1075 9.3.16.6
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
| Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
| Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
System- och informationsintegritet
Felreparation (SI-2)
ID: IRS 1075 9.3.17.2
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
| SQL-databaser bör lösa sårbarhetsresultat | Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 4.1.0 |
| Systemuppdateringar på vm-skalningsuppsättningar ska installeras | Granska om det finns några saknade systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningar för virtuella Windows- och Linux-datorer är säkra. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Systemuppdateringar bör installeras på dina datorer | Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 4.0.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.1.0 |
| Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas | Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. | AuditIfNotExists, inaktiverad | 3.0.0 |
Skydd mot skadlig kod (SI-3)
ID: IRS 1075 9.3.17.3
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar | Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Övervaka saknat Endpoint Protection i Azure Security Center | Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervakning av informationssystem (SI-4)
ID: IRS 1075 9.3.17.4
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Medvetenhet och utbildning
Granskningsgenerering (AU-12)
ID: IRS 1075 9.3.3.11
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Innehåll i granskningsposter (AU-3)
ID: IRS 1075 9.3.3.3
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Svar på granskningsbearbetningsfel (AU-5)
ID: IRS 1075 9.3.3.5
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska diagnostikinställningen för valda resurstyper | Granska diagnostikinställningen för valda resurstyper. Se till att bara välja resurstyper som stöder diagnostikinställningar. | AuditIfNotExists | 2.0.1 |
| Granskning på SQL-servern ska vara aktiverad | Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
| Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
Granskningsgranskning, analys och rapportering (AU-6)
ID: IRS 1075 9.3.3.6
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | Rapporterar virtuella datorer som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1-förhandsversion |
| Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Virtuella datorer ska vara anslutna till en angiven arbetsyta | Rapporterar virtuella datorer som inkompatibla om de inte loggar till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. | AuditIfNotExists, inaktiverad | 1.1.0 |
Konfigurationshantering
Användarinstallerad programvara (CM-11)
ID: IRS 1075 9.3.5.11
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
Minsta funktionalitet (CM-7)
ID: IRS 1075 9.3.5.7
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. | AuditIfNotExists, inaktiverad | 3.0.0 |
Beredskapsplanering
Alternativ bearbetningsplats (CP-7)
ID: IRS 1075 9.3.6.6
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Granska virtuella datorer utan att haveriberedskap har konfigurerats | Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Identifiering och autentisering
Identifiering och autentisering (organisationsanvändare) (IA-2)
ID: IRS 1075 9.3.7.2
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Autentiseringshantering (IA-5)
ID: IRS 1075 9.3.7.5
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfiguration men som inte har några hanterade identiteter. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | Den här principen lägger till en systemtilldelad hanterad identitet till virtuella datorer i Azure som stöds av gästkonfiguration och som har minst en användartilldelad identitet men som inte har någon systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | modify | 4.1.0 |
| Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som inte har behörighet för passwd-filen har angetts till 0644 | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Linux-datorer som har konton utan lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Linux-datorer som har konton utan lösenord | AuditIfNotExists, inaktiverad | 3.1.0 |
| Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord. Standardvärdet för unika lösenord är 24 | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den högsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för maximal lösenordsålder är 70 dagar | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har den lägsta lösenordsåldern inställda på angivet antal dagar. Standardvärdet för lägsta lösenordsålder är 1 dag | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | AuditIfNotExists, inaktiverad | 2.0.0 |
| Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte begränsar minsta längd på lösenord till angivet antal tecken. Standardvärdet för minsta längd på lösenord är 14 tecken | AuditIfNotExists, inaktiverad | 2.1.0 |
| Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om Windows-datorer som inte lagrar lösenord med reversibel kryptering | AuditIfNotExists, inaktiverad | 2.0.0 |
| Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfiguration. Linux-gästkonfigurationstillägget är en förutsättning för alla Linux-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | Den här principen distribuerar Windows-gästkonfigurationstillägget till virtuella Windows-datorer i Azure som stöds av gästkonfiguration. Windows-gästkonfigurationstillägget är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder någon principdefinition för Windows-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.