Information om Reserve Bank of India – inbyggt initiativ för IT-ramverk för NBFC-regelefterlevnad

I följande artikel beskrivs hur den inbyggda initiativdefinitionen Azure Policy Regelefterlevnad mappar till efterlevnadsdomäner och kontroller i Reserve Bank of India – IT Framework för NBFC. Mer information om den här efterlevnadsstandarden finns i Reserve Bank of India – IT Framework för NBFC. Information om ägarskap finns i Azure Policy principdefinition och Delat ansvar i molnet.

Följande mappningar är till Reserve Bank of India – IT Framework för NBFC-kontroller . Använd navigeringen till höger för att gå direkt till en specifik efterlevnadsdomän. Många av kontrollerna implementeras med en Azure Policy initiativdefinition. Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan reda på och välj [Preview]: Reserve Bank of India – IT Framework for NBFC Regulatory Compliance built-in initiative definition (Reservera Bank of India – IT Framework for NBFC Regulatory Compliance built-in initiative definition).

Viktigt

Varje kontroll nedan är associerad med en eller flera Azure Policy definitioner. Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Kompatibel i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav för en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av någon Azure Policy definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy definitioner för den här efterlevnadsstandarden kan ändras med tiden. Information om hur du visar ändringshistoriken finns i GitHub Commit History (GitHub-incheckningshistorik).

IT-styrning

IT-styrning-1

ID: RBI IT Framework 1

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning bör vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig del av varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
App Service appar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för webbappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, inaktiverad 3.0.0
App Service appar som använder PHP bör använda den senaste PHP-versionen Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, inaktiverad 3.0.0
App Service appar som använder Python bör använda den senaste "Python-versionen" Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. AuditIfNotExists, inaktiverad 4.0.0
Containerregisteravbildningar bör ha sårbarhetsresultat lösta Sårbarhetsbedömning av containeravbildningar söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. AuditIfNotExists, inaktiverad 2.0.1
Email meddelande om aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för varningar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
Email meddelande till prenumerationsägaren om aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns ett potentiellt säkerhetsintrång i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar som använder Python bör använda den senaste Python-versionen Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar eftersom Python inte stöds i Windows-appar. AuditIfNotExists, inaktiverad 4.0.0
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända säkerhetsrisker i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes-versionerna 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granskning, inaktiverad 1.0.2
Sql-databaser bör ha sårbarhetsresultat lösta Övervaka genomsökningsresultat för sårbarhetsbedömning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.0.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta Sql-sårbarhetsbedömning söker igenom din databas efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem För att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Systemuppdateringar på VM-skalningsuppsättningar ska installeras Granska om det saknas systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningarna för virtuella Windows- och Linux-datorer är säkra. AuditIfNotExists, inaktiverad 3.0.0
Systemuppdateringar ska ha installerats på dina datorer Saknade uppdateringar av säkerhetssystem på dina servrar övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 4.0.0
Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. AuditIfNotExists, inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. AuditIfNotExists, inaktiverad 3.0.0
Sårbarhetsbedömning bör aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör vara aktiverat på dina SQL-servrar Granska Azure SQL servrar som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 2.0.0

IT-styrning-1.1

ID: RBI IT Framework 1.1

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-förhandsversion
IP-vidarebefordring på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordring på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0

IT-princip

IT-princip-2

ID: RBI IT Framework 2

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. AuditIfNotExists, inaktiverad 3.0.0
Reglerna för listan över tillåtna i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslår en lista över kända och säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara principer för programkontroll. AuditIfNotExists, inaktiverad 3.0.0

Information och cybersäkerhet

Informationssäkerhet-3

ID: RBI IT Framework 3

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3

Identifiering och klassificering av informationstillgångar-3.1

ID: RBI IT Framework 3.1.a

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Externa konton med ägarbehörigheter bör tas bort från din prenumeration Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Externa konton med läsbehörighet bör tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Externa konton med skrivbehörighet bör tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 3.0.0
Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2

Uppdelning av Functions-3.1

ID: RBI IT Framework 3.1.b

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds Aktivera säker start på virtuella Windows-datorer som stöds för att undvika skadliga och obehöriga ändringar i startkedjan. När den är aktiverad tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller endast betrodda startaktiverade virtuella Windows-datorer. Granskning, inaktiverad 3.0.0-förhandsversion
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast betrodda startaktiverade virtuella datorer. Granskning, inaktiverad 2.0.0-förhandsversion
App Service appar ska ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service app. Fjärrfelsökning bör stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Granskning, inaktiverad 2.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör stängas av. AuditIfNotExists, inaktiverad 2.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i den här principens omfång är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Rollbaserad Access Control-3.1

ID: RBI IT Framework 3.1.c

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du utser upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. AuditIfNotExists, inaktiverad 1.0.0
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Email meddelande till prenumerationsägaren om aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns ett potentiellt säkerhetsintrång i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Externa konton med ägarbehörigheter bör tas bort från din prenumeration Externa konton med ägarbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med läsbehörigheter bör tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med skrivbehörigheter bör tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Eventuell JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, Inaktiverad 1.0.1
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, Inaktiverad 3.0.0

Maker-checker-3.1

ID: RBI IT Framework 3.1.f

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, Inaktiverad 3.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalvskonton. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverade Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, Inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, Inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, Inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, Inaktiverad 3.0.0
Email meddelande för aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer. AuditIfNotExists, Inaktiverad 1.0.1
Email meddelande till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, Inaktiverad 2.0.0
Externa konton med ägarbehörigheter bör tas bort från din prenumeration Externa konton med ägarbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med läsbehörigheter bör tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med skrivbehörigheter bör tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, Inaktiverad 1.0.1

Spår-3.1

ID: RBI IT Framework 3.1.g

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar virtuella datorer som inkompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, Inaktiverad 2.0.1-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion
Aktivitetsloggen ska behållas i minst ett år Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). AuditIfNotExists, Inaktiverad 1.0.0
Application Insights-komponenter bör blockera logginmatning och frågor från offentliga nätverk Förbättra Application Insights-säkerheten genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar för den här komponenten. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration Om du vill övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och eventuella nya som skapas. AuditIfNotExists, Inaktiverad 1.0.1
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender för DNS på https://aka.ms/defender-for-dns . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för relationsdatabaser med öppen källkod bör vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt! Om du aktiverar den här planen debiteras du för att skydda relationsdatabaser med öppen källkod. Läs mer om prissättningen på prissättningssidan för Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager bör vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen debiteras du. Läs mer om prisinformationen per region på prissättningssidan för Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer bör vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3
Azure Kubernetes Service kluster ska ha Defender-profil aktiverad Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Granskning, inaktiverad 2.0.0
Azure Monitor-loggprofilen bör samla in loggar för kategorierna "skriva", "ta bort" och "åtgärd" Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "skriva", "ta bort" och "åtgärd" AuditIfNotExists, inaktiverad 1.0.0
Azure Monitor-loggkluster bör skapas med infrastrukturkryptering aktiverat (dubbel kryptering) Om du vill säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar använder du ett dedikerat Azure Monitor-kluster. Det här alternativet är aktiverat som standard när det stöds i regionen. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Som standard krypteras loggdata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Monitor-loggar för Application Insights ska länkas till en Log Analytics-arbetsyta Länka Application Insights-komponenten till en Log Analytics-arbetsyta för loggkryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina data i Azure Monitor. Om du länkar din komponent till en Log Analytics-arbetsyta som är aktiverad med en kundhanterad nyckel ser du till att Application Insights-loggarna uppfyller det här efterlevnadskravet. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Monitor bör samla in aktivitetsloggar från alla regioner Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. AuditIfNotExists, inaktiverad 2.0.0
Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. AuditIfNotExists, inaktiverad 1.0.0
Frånkopplingar ska loggas för PostgreSQL-databasservrar. Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.1.0
Flödesloggar ska vara aktiverade för varje nätverkssäkerhetsgrupp Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverad. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad, vilket Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. AuditIfNotExists, Inaktiverad 1.0.0
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer i listan Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, Inaktiverad 2.0.1
Log Analytics-arbetsytor bör blockera logginmatning och frågor från offentliga nätverk Förbättra säkerheten för arbetsytan genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-log-analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Log Analytics-arbetsytor bör blockera icke-Azure Active Directory-baserad inmatning. Om du framtvingar logginmatning för att kräva Azure Active Directory-autentisering förhindras oautentiserade loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. Neka, Granska, Inaktiverad 1.0.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. AuditIfNotExists, Inaktiverad 1.0.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. AuditIfNotExists, Inaktiverad 1.0.0
Loggvaraktighet ska vara aktiverad för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_duration inställningen är aktiverad. AuditIfNotExists, Inaktiverad 1.0.0
Logic Apps Integration Service Environment ska krypteras med kundhanterade nycklar Distribuera till Integration Service Environment för att hantera kryptering i resten av Logic Apps-data med hjälp av kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, neka, inaktiverad 1.0.0
Network Watcher flödesloggar ska ha trafikanalys aktiverat Trafikanalys analyserar Network Watcher flödesloggar för nätverkssäkerhetsgrupper för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. Granskning, inaktiverad 1.0.0
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för din SQL Server granskning till lagringskontots mål till minst 90 dagar. Kontrollera att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för att följa regelstandarder. AuditIfNotExists, Inaktiverad 3.0.0
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. AuditIfNotExists, Inaktiverad 1.0.0
Log Analytics-tillägget bör installeras på Virtual Machine Scale Sets Den här principen granskar alla Windows/Linux-Virtual Machine Scale Sets om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Inaktiverad 1.0.1
Virtuella datorer ska ha Log Analytics-tillägget installerat Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Inaktiverad 1.0.1

Infrastruktur för offentliga nycklar (PKI)-3.1

ID: RBI IT Framework 3.1.h

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Certifikaten bör ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.2.0-förhandsversion
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Privat länk är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Privat länk ger ett djupgående skydd mot dataexfiltrering. Granska, neka, inaktiverad 1.1.0-förhandsversion
App Configuration ska använda en kundhanterad nyckel Kundhanterade nycklar ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta krävs ofta för att uppfylla efterlevnadskraven. Granska, neka, inaktiverad 1.1.0
App Service appar ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 3.0.0
App Service appar ska använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, Inaktiverad 2.0.0
App Service-miljön ska ha intern kryptering aktiverad Om du anger InternalEncryption till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Granskning, inaktiverad 1.0.1
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av automationskontovariabeltillgångar vid lagring av känsliga data Granska, neka, inaktiverad 1.1.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan sedan konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.0.0
Azure Monitor-loggkluster bör skapas med infrastrukturkryptering aktiverat (dubbel kryptering) För att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar använder du ett dedikeradt Azure Monitor-kluster. Det här alternativet är aktiverat som standard när det stöds i regionen, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Diskkryptering ska vara aktiverat i Azure Data Explorer Genom att aktivera diskkryptering kan du skydda dina data så att de uppfyller organisationens säkerhets- och efterlevnadsåtaganden. Granska, neka, inaktiverad 2.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Azure Database for MySQL-servern till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granskning, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, Inaktiverad 2.0.0
Infrastrukturkryptering bör aktiveras för Azure Database for MySQL servrar Aktivera infrastrukturkryptering för Azure Database for MySQL servrar för att få högre säkerhetsnivå för att data är säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. Granska, neka, inaktiverad 1.0.0
Infrastrukturkryptering bör aktiveras för Azure Database for PostgreSQL servrar Aktivera infrastrukturkryptering för Azure Database for PostgreSQL servrar för att få högre säkerhetsnivå för att data är säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar Granska, neka, inaktiverad 1.0.0
Key Vault nycklar ska ha ett förfallodatum Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. Granska, neka, inaktiverad 1.0.2
Key Vault hemligheter ska ha ett förfallodatum Hemligheter ska ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. Granska, neka, inaktiverad 1.0.2
Nyckelvalv bör ha rensningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 2.0.0
Nyckelvalv bör ha mjuk borttagning aktiverat Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0
Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kundhanterad nyckelkryptering Om du kräver en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja de tillåtna krypterade uppsättningarna och alla andra avvisas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk. Granska, neka, inaktiverad 2.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av MySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, Inaktiverad 1.0.4
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av PostgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, Inaktiverad 1.0.4
Sparade frågor i Azure Monitor ska sparas i kundens lagringskonto för loggkryptering Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med kryptering av lagringskonton. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående finns i https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Säker överföring till lagringskonton ska vara aktiverat Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Krypteringsomfång för lagringskonton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Kundhanterade nycklar gör att data kan krypteras med en Azure key-vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. Granska, neka, inaktiverad 1.0.0
Krypteringsomfång för lagringskonton bör använda dubbel kryptering för vilande data Aktivera infrastrukturkryptering för kryptering i resten av lagringskontots krypteringsomfång för ökad säkerhet. Infrastrukturkryptering säkerställer att dina data krypteras två gånger. Granska, neka, inaktiverad 1.0.0
Lagringskonton bör ha infrastrukturkryptering Aktivera infrastrukturkryptering för att säkerställa att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. Granska, neka, inaktiverad 1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Med kundhanterade nycklar får du ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. Granskning, inaktiverad 1.0.3
Transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, Inaktiverad 2.0.0
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika erbjudanden för diskkryptering: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Inaktiverad 2.0.3

Sårbarhetshantering-3.3

ID: RBI IT Framework 3.3

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje program för cyberrisker och säkerhet är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Java-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder PHP bör använda den senaste PHP-versionen Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Användning av den senaste PHP-versionen för App Service appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder Python bör använda den senaste Python-versionen Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Användning av den senaste Python-versionen för App Service appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. AuditIfNotExists, Inaktiverad 4.0.0
Containerregisteravbildningar bör lösa sårbarhetsresultat Sårbarhetsbedömning av containeravbildningar söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. AuditIfNotExists, Inaktiverad 2.0.1
Funktionsappar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Du rekommenderas att använda den senaste Java-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar som använder Python bör använda den senaste Python-versionen Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Du rekommenderas att använda den senaste Python-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar eftersom Python inte stöds i Windows-appar. AuditIfNotExists, Inaktiverad 4.0.0
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända säkerhetsrisker i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granskning, inaktiverad 1.0.2
Om du kör containeravbildningar bör sårbarhetsresultat vara lösta Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsproblem och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. AuditIfNotExists, inaktiverad 1.0.1
Sql-databaser bör ha sårbarhetsresultat lösta Övervaka genomsökningsresultat för sårbarhetsbedömning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.0.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta Sql-sårbarhetsbedömning söker igenom din databas efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Systemuppdateringar på VM-skalningsuppsättningar ska installeras Granska om det saknas systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningarna för virtuella Windows- och Linux-datorer är säkra. AuditIfNotExists, inaktiverad 3.0.0
Systemuppdateringar ska ha installerats på dina datorer Saknade uppdateringar av säkerhetssystem på dina servrar övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 4.0.0
Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. AuditIfNotExists, inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas Granska operativsystemets sårbarheter på dina VM-skalningsuppsättningar för att skydda dem mot attacker. AuditIfNotExists, inaktiverad 3.0.0
Inställningarna för sårbarhetsbedömning för SQL Server ska innehålla en e-postadress för att ta emot genomsökningsrapporter Kontrollera att en e-postadress har angetts för fältet Skicka skanningsrapporter till i inställningarna för sårbarhetsbedömning. Den här e-postadressen tar emot sammanfattningen av genomsökningsresultatet efter en periodisk genomsökning som körs på SQL-servrar. AuditIfNotExists, inaktiverad 2.0.0
Sårbarhetsbedömning bör aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör vara aktiverat på dina SQL-servrar Granska Azure SQL servrar som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 2.0.0
Sårbarhetsbedömning ska vara aktiverat på dina Synapse-arbetsytor Identifiera, spåra och åtgärda potentiella sårbarheter genom att konfigurera återkommande genomsökningar av SQL-sårbarhetsbedömningar på Dina Synapse-arbetsytor. AuditIfNotExists, inaktiverad 1.0.0

Digitala signaturer-3.8

ID: RBI IT Framework 3.8

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Certifikaten bör ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den längsta tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.2.0-förhandsversion
App Service appar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Granskning, inaktiverad 2.0.0
Certifikat ska utfärdas av den angivna integrerade certifikatutfärdare Hantera organisationens efterlevnadskrav genom att ange de Azure-integrerade certifikatutfärdare som kan utfärda certifikat i nyckelvalvet, till exempel Digicert eller GlobalSign. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Certifikat bör använda tillåtna nyckeltyper Hantera organisationens efterlevnadskrav genom att begränsa vilka nyckeltyper som tillåts för certifikat. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Certifikat som använder elliptisk kurvkryptografi bör ha tillåtna kurvnamn Hantera de tillåtna elliptiska kurvnamnen för ECC-certifikat som lagras i nyckelvalvet. Mer information finns på https://aka.ms/akvpolicy. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.1.0
Funktionsappar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Granskning, inaktiverad 2.0.0

IT-drift

IT Operations-4.2

ID: RBI IT Framework 4.2

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, Inaktiverad 1.0.2-förhandsversion

IT-åtgärder-4.4

ID: RBI IT Framework 4.4.a

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje program för cyberrisker och säkerhet är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, Inaktiverad 3.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2

MIS för top management-4.4

ID: RBI IT Framework 4.4.b

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje program för cyberrisker och säkerhet är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, Inaktiverad 3.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2

IS-granskning

Princip för granskning av informationssystem (IS-granskning)-5

ID: RBI IT Framework 5

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte är skyddade med nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, Inaktiverad 3.0.0-förhandsversion
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, Inaktiverad 3.0.0
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel som definierats med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.1.0
Flödesloggar ska vara aktiverade för varje nätverkssäkerhetsgrupp Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverad. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-brandväggsregler på Azure Synapse arbetsytor bör tas bort Om du tar bort alla IP-brandväggsregler förbättras säkerheten genom att se till att din Azure Synapse arbetsyta endast kan nås från en privat slutpunkt. Den här konfigurationen granskar skapandet av brandväggsregler som tillåter åtkomst till offentliga nätverk på arbetsytan. Granskning, inaktiverad 1.0.0
IP-vidarebefordring på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordring på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Icke-Internetanslutna virtuella datorer bör skyddas med nätverkssäkerhetsgrupper Skydda dina icke-Internetuppkopplade virtuella datorer mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0
Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktivt i alla Web Application Firewall principer för Application Gateway. Granska, neka, inaktiverad 1.0.0
Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktivt i alla Web Application Firewall principer för Azure Front Door Service. Granska, neka, inaktiverad 1.0.0

Täckning-5.2

ID: RBI IT Framework 5.2

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1

Planering för affärskontinuitet

Planering av affärskontinuitet (BCP) och haveriberedskap-6

ID: RBI IT Framework 6

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopierade data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-förhandsversion
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. Granskning, inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Recovery Services-valv bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar för Azure Site Recovery på: https://aka.ms/HybridScenarios-PrivateLink och https://aka.ms/AzureToAzure-PrivateLink. Granskning, inaktiverad 1.0.0-förhandsversion
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerad haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Azure Backup ska aktiveras för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, Inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL Database med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, Inaktiverad 2.0.0

Återställningsstrategi/Beredskapsplan-6.2

ID: RBI IT Framework 6.2

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-förhandsversion
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. Granskning, inaktiverad 2.0.0-förhandsversion
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Azure Backup ska aktiveras för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, Inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ i händelse av ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Långsiktig geo-redundant säkerhetskopiering bör aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL Database med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, Inaktiverad 2.0.0

Återställningsstrategi/Beredskapsplan-6.3

ID: RBI IT Framework 6.3

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-förhandsversion
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. Granskning, inaktiverad 2.0.0-förhandsversion
Azure Backup ska vara aktiverat för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Långsiktig geo-redundant säkerhetskopiering ska aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, inaktiverad 2.0.0

Återställningsstrategi/beredskapsplan-6.4

ID: RBI IT Framework 6.4

Name
(Azure Portal)
Description Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopierade data Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-förhandsversion
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. Granskning, inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Recovery Services-valv bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den Private Link plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar för Azure Site Recovery på: https://aka.ms/HybridScenarios-PrivateLink och https://aka.ms/AzureToAzure-PrivateLink. Granskning, inaktiverad 1.0.0-förhandsversion
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerad haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Nästa steg

Ytterligare artiklar om Azure Policy: