Information om det inbyggda initiativet RMIT Malaysia Regulatory Compliance

Följande artikel beskriver hur den inbyggda initiativdefinitionen Azure Policy Regelefterlevnad mappar till efterlevnadsdomäner och kontroller i RMIT Malaysia. Mer information om den här efterlevnadsstandarden finns i RMIT Malaysia. Information om ägarskap finns i Azure Policy principdefinition och Delat ansvar i molnet.

Följande mappningar gäller för RMIT Malaysia-kontrollerna . Använd navigeringen till höger för att gå direkt till en specifik efterlevnadsdomän. Många av kontrollerna implementeras med en Azure Policy initiativdefinition. Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan reda på och välj den inbyggda initiativdefinitionen [Preview]: RMIT Malaysia Regulatory Compliance.

Viktigt

Varje kontroll nedan är associerad med en eller flera Azure Policy definitioner. Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Kompatibel i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav för en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av någon Azure Policy definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy definitioner för den här efterlevnadsstandarden kan ändras med tiden. Information om hur du visar ändringshistoriken finns i GitHub Commit History (GitHub-incheckningshistorik).

Kryptografi

Kryptografi – 10.16

ID: RMiT 10.16 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rensningsskydd bör vara aktiverat för Azure Key Vault Managed HSM Skadlig borttagning av en Azure Key Vault Managed HSM kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa Azure Key Vault Managed HSM. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjukt borttagna Azure Key Vault Managed HSM. Ingen i din organisation eller Microsoft kommer att kunna rensa din Azure Key Vault Managed HSM under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 1.0.0
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL servrar Aktivera infrastrukturkryptering för Azure Database for MySQL servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. Granska, neka, inaktiverad 1.0.0
Infrastrukturkryptering ska vara aktiverat för Azure Database for PostgreSQL servrar Aktivera infrastrukturkryptering för Azure Database for PostgreSQL servrar för att få en högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras vilande data två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar Granska, neka, inaktiverad 1.0.0
Rensningsskydd bör vara aktiverat för nyckelvalv Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjukt borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 2.0.0
Mjuk borttagning ska vara aktiverat för nyckelvalv Om du tar bort ett nyckelvalv utan mjuk borttagning permanent tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0
Säker överföring till lagringskonton ska vara aktiverat Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-baserad extern tjänst och befordran av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
Lagringskonton bör ha infrastrukturkryptering Aktivera infrastrukturkryptering för högre säkerhetsnivå för att data ska vara säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. Granska, neka, inaktiverad 1.0.0
Transparent datakryptering på SQL-databaser bör vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, inaktiverad 2.0.0

Kryptografi – 10.19

ID: RMiT 10.19 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för Key Vault bör vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många standarder för regelefterlevnad och branschefterlevnad. Granska, neka, inaktiverad 1.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Key Vault ska använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Key Vault inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granskning, inaktiverad 1.0.0
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av PostgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Implementering av transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-baserad extern tjänst och befordran av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1

Kryptografi – 10.20

ID: RMiT 10.20 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Granskning, inaktiverad 2.0.0
Funktionsappar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Granskning, inaktiverad 2.0.0

Datacenteråtgärder

Datacenteråtgärder – 10.27

ID: RMiT 10.27 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Distribuera – Konfigurera Log Analytics-tillägget så att det aktiveras på Skalningsuppsättningar för virtuella Windows-datorer Distribuera Log Analytics-tillägget för VM-skalningsuppsättningar i Windows om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Om din skalningsuppsättning upgradePolicy är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningsväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. DeployIfNotExists, inaktiverad 3.0.1
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser Använd nya Azure-Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management Granska, neka, inaktiverad 1.0.0

Datacenteråtgärder – 10.30

ID: RMiT 10.30 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Sparade frågor i Azure Monitor bör sparas i kundens lagringskonto för loggkryptering Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med kryptering av lagringskonton. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående finns i https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0

Nätverksresiliens

Nätverksresiliens – 10.33

ID: RMiT 10.33 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är kopplade till den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från intervallen "Alla" eller "Internet". Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
API Management tjänster ska använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett icke-Internet-dirigerbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras så att de är tillgängliga antingen från Internet eller endast inom det virtuella nätverket. Granskning, inaktiverad 1.0.1
Azure Container Instance-containergruppen bör distribueras till ett virtuellt nätverk Säker kommunikation mellan dina containrar med Azure Virtual Networks. När du anger ett virtuellt nätverk kan resurser i det virtuella nätverket kommunicera säkert och privat med varandra. Granska, inaktiverad, neka 2.0.0
Azure VPN-gatewayer bör inte använda "grundläggande" SKU Den här principen säkerställer att VPN-gatewayer inte använder "grundläggande" SKU. Granskning, inaktiverad 1.0.0
Konfigurera App Configuration för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för App Configuration så att den inte är tillgänglig via det offentliga Internet. Den här konfigurationen skyddar dem mot dataläckagerisker. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint. Ändra, inaktiverad 1.0.0
Konfigurera Azure SQL Server för att inaktivera åtkomst till offentligt nätverk Om du inaktiverar den offentliga nätverksåtkomstegenskapen stängs den offentliga anslutningen av så att Azure SQL Server endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomsten till det offentliga nätverket för alla databaser under Azure SQL Server. Ändra, inaktiverad 1.0.0
Konfigurera Azure SQL Server för att aktivera privata slutpunktsanslutningar En privat slutpunktsanslutning möjliggör privat anslutning till din Azure SQL Database via en privat IP-adress i ett virtuellt nätverk. Den här konfigurationen förbättrar din säkerhetsstatus och stöder Azure-nätverksverktyg och -scenarier. DeployIfNotExists, Inaktiverad 1.0.0
Konfigurera containerregister för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din Container Registry-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. Ändra, inaktiverad 1.0.0
Konfigurera hanterade diskar för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din hanterade diskresurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/disksprivatelinksdoc. Ändra, inaktiverad 2.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregistrets nätverksregler här: https://aka.ms/acr/privatelinkochhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Cosmos DB som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granskning, inaktiverad 1.0.0
Händelsehubben bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla händelsehubbar som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. AuditIfNotExists, Inaktiverad 1.0.0
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.1.0
Flödesloggar ska vara aktiverade för varje nätverkssäkerhetsgrupp Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverad. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, Inaktiverad 3.0.0
Hanterade diskar bör inaktivera åtkomst till offentligt nätverk Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att en hanterad disk inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av hanterade diskar. Läs mer på: https://aka.ms/disksprivatelinksdoc. Granskning, inaktiverad 2.0.0
Ändra – Konfigurera Azure File Sync för att inaktivera åtkomst till offentligt nätverk Den Azure File Sync internettillgängliga offentliga slutpunkten inaktiveras av din organisationsprincip. Du kan fortfarande komma åt Tjänsten för synkronisering av lagring via dess privata slutpunkter. Ändra, inaktiverad 1.0.0
Icke-internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
Privata slutpunktsanslutningar på Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Åtkomst till offentligt nätverk ska inaktiveras för containerregister Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att säkerställa att containerregister inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av containerregisterresurser. Läs mer på: https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. Granska, neka, inaktiverad 1.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet. AuditIfNotExists, Inaktiverad 3.0.0
Virtuella datorer ska anslutas till ett godkänt virtuellt nätverk Den här principen granskar alla virtuella datorer som är anslutna till ett virtuellt nätverk som inte har godkänts. Granska, neka, inaktiverad 1.0.0
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika erbjudanden för diskkryptering: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Inaktiverad 2.0.3
Virtuella nätverk bör använda angiven virtuell nätverksgateway Den här principen granskar alla virtuella nätverk om standardvägen inte pekar på den angivna virtuella nätverksgatewayen. AuditIfNotExists, Inaktiverad 1.0.0

Nätverksresiliens – 10,35

ID: RMiT 10.35 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på VM-skalningsuppsättningar i Windows Distribuera Log Analytics-tillägget för vm-skalningsuppsättningar för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Om uppgraderingen av skalningsuppsättningenPolicy har angetts till Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningsväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. DeployIfNotExists, Inaktiverad 3.0.1
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för network watcher skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för network watcher inte är tillgänglig i en viss region. AuditIfNotExists, Inaktiverad 3.0.0

Nätverksresiliens – 10,38

ID: RMiT 10.38 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Aktivera automatisk etablering av Log Analytics-agenten för dina prenumerationer med anpassad arbetsyta. Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med hjälp av en anpassad arbetsyta. DeployIfNotExists, Inaktiverad 1.0.0
Aktivera Automatisk etablering av Log Analytics-agenten för dina prenumerationer med standardarbetsyta. Tillåt att Security Center automatiskt etablerar Log Analytics-agenten för dina prenumerationer för att övervaka och samla in säkerhetsdata med asc-standardarbetsytan. DeployIfNotExists, Inaktiverad 1.0.0

Nätverksresiliens – 10,39

ID: RMiT 10.39 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En anpassad IPsec/IKE-princip måste tillämpas på alla Azure Virtual Network Gateway-anslutningar Den här principen säkerställer att alla azure-anslutningar för virtuella nätverksgatewayer använder en anpassad IKE-princip (Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 Granskning, inaktiverad 1.0.0
SQL Server ska använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla SQL Server inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. AuditIfNotExists, Inaktiverad 1.0.0
Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla lagringskonton som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granskning, inaktiverad 1.0.0

Cloud Services

Cloud Services – 10,49

ID: RMiT 10.49 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och ger rekommendationer om regler för nätverkssäkerhetsgrupper som minskar risken för angrepp AuditIfNotExists, inaktiverad 3.0.0
Granskningsresursplatsen matchar resursgruppens plats Granska att resursplatsen matchar resursgruppens plats Revision 2.0.0
Anslutningsbegränsning ska vara aktiverat för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att anslutningsbegränsning har aktiverats. Den här inställningen aktiverar tillfällig anslutningsbegränsning per IP för för många ogiltiga inloggningsfel för lösenord. AuditIfNotExists, inaktiverad 1.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
SQL Database bör undvika att använda GRS-säkerhetskopieringsredundans Databaser bör undvika att använda standard geo-redundant lagring för säkerhetskopior, om datahemvistsregler kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. Neka, inaktiverad 2.0.0
SQL Managed Instances bör undvika att använda GRS-säkerhetskopieringsredundans Hanterade instanser bör undvika att använda standard geo-redundant lagring för säkerhetskopieringar, om regler för datahemvist kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant lagring av säkerhetskopior via T-SQL. Neka, inaktiverad 2.0.0

Cloud Services – 10,51

ID: RMiT 10.51 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och ger rekommendationer om regler för nätverkssäkerhetsgrupper som minskar risken för angrepp AuditIfNotExists, inaktiverad 3.0.0
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerad haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant lagring ska vara aktiverat för lagringskonton Använda geo-redundans för att skapa program med hög tillgänglighet Granskning, inaktiverad 1.0.0
Långsiktig geo-redundant säkerhetskopiering ska aktiveras för Azure SQL-databaser Den här principen granskar alla Azure SQL-databaser med långsiktig geo-redundant säkerhetskopiering som inte är aktiverad. AuditIfNotExists, inaktiverad 2.0.0

Cloud Services – 10,53

ID: RMiT 10.53 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Configuration ska använda en kundhanterad nyckel Kundhanterade nycklar ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta krävs ofta för att uppfylla efterlevnadskraven. Granska, neka, inaktiverad 1.1.0
Azure Container Instance-containergruppen bör använda kundhanterad nyckel för kryptering Skydda dina containrar med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Användning av kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. Granska, inaktiverad, neka 1.0.0
Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Som standard krypteras loggdata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Containerregister ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. Granska, neka, inaktiverad 1.1.2
Event Hub-namnrymder bör använda en kundhanterad nyckel för kryptering Azure Event Hubs stöder alternativet att kryptera vilande data med antingen Microsoft-hanterade nycklar (standard) eller kundhanterade nycklar. Om du väljer att kryptera data med kundhanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i ditt namnområde. Observera att Händelsehubb endast stöder kryptering med kundhanterade nycklar för namnrymder i dedikerade kluster. Granskning, inaktiverad 1.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring av säkerhetskopior där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
HPC Cache konton ska använda kundhanterad nyckel för kryptering Hantera kryptering i resten av Azure HPC Cache med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, inaktiverad, neka 2.0.0
Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kundhanterad nyckelkryptering Om du kräver en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja tillåtna krypterade uppsättningar och alla andra avvisas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk. Granska, neka, inaktiverad 2.0.0
Operativsystem och datadiskar ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformshanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk. Granska, neka, inaktiverad 3.0.0
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av PostgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs vanligtvis för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Sparade frågor i Azure Monitor bör sparas i kundens lagringskonto för loggkryptering Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med kryptering av lagringskonton. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående finns i https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Implementering av transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-baserad extern tjänst och befordran av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Lagringskontot som innehåller containern med aktivitetsloggar måste krypteras med BYOK Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. AuditIfNotExists, inaktiverad 1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Användning av kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller kryptografiskt radera data. Granskning, inaktiverad 1.0.3

Åtkomstkontroll

Access Control – 10,54

ID: RMiT 10.54 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD autentisering. Azure AD autentisering möjliggör förenklad behörighetshantering och central identitetshantering av databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
App Configuration bör inaktivera åtkomst till offentligt nätverk Inaktivering av åtkomst till offentligt nätverk förbättrar säkerheten genom att se till att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint. Granska, neka, inaktiverad 1.0.0
App Service appar ska ha autentisering aktiverat Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. AuditIfNotExists, inaktiverad 2.0.1
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, Inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med ägarbehörigheter bör tas bort från din prenumeration Externa konton med ägarbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med läsbehörigheter bör tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Externa konton med skrivbehörigheter bör tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar bör ha autentisering aktiverat Azure App Service autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar omfattar konfigurationen av operativsystemet, programkonfigurationen eller närvaron och miljöinställningarna. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, Inaktiverad 1.0.2
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Eventuell JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
MFA ska aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Inaktiverad 3.0.0
Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2
Tillägg för gästkonfiguration för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, Inaktiverad 1.0.1

Access Control - 10,55

ID: RMiT 10.55 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Auktoriseringsregler för Event Hub-instansen bör definieras Granska förekomsten av auktoriseringsregler för Event Hub-entiteter för att bevilja åtkomst med minst privilegier AuditIfNotExists, Inaktiverad 1.0.0
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.1
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er Kontrollera användaren, den primära gruppen, kompletterande grupp- och filsystemgrupps-ID:t som poddar och containrar kan använda för att köra i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.2
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.0.0
Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.0.1
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgår nätverksregler för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att få åtkomst till lagringskontot. Granska, neka, inaktiverad 1.0.0

Access Control – 10,58

ID: RMiT 10.58 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 3.0.0
MFA bör aktiveras på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 3.0.0
MFA bör aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 3.0.0

Access Control – 10,60

ID: RMiT 10.60 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2

Access Control – 10,61

ID: RMiT 10.61 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats är de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.2
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig JIT-åtkomst (Just In Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
MFA bör aktiveras på konton med ägarbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 3.0.0
MFA bör aktiveras på konton med läsbehörighet för din prenumeration Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 3.0.0
Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, Inaktiverad 1.0.1

Access Control – 10,62

ID: RMiT 10.62 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Deltagare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.0
Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.2

Korrigering och systemhantering i slutet av livscykeln

Patch and End-of-Life System Management – 10.63

ID: RMiT 10.63 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer Den här principen granskar alla virtuella Windows-datorer som inte har konfigurerats med automatisk uppdatering av Microsoft Antimalware skyddssignaturer. AuditIfNotExists, Inaktiverad 1.0.0
Systemuppdateringar på VM-skalningsuppsättningar ska installeras Granska om det saknas systemsäkerhetsuppdateringar och viktiga uppdateringar som ska installeras för att säkerställa att skalningsuppsättningarna för virtuella Windows- och Linux-datorer är säkra. AuditIfNotExists, Inaktiverad 3.0.0

Patch and End-of-Life System Management – 10.65

ID: RMiT 10.65 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända säkerhetsrisker i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granskning, inaktiverad 1.0.2
Systemuppdateringar ska ha installerats på dina datorer Uppdateringar av säkerhetssystem som saknas på servrarna övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 4.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas Granska operativsystemets säkerhetsrisker på dina VM-skalningsuppsättningar för att skydda dem mot attacker. AuditIfNotExists, Inaktiverad 3.0.0

Säkerhet för digitala tjänster

Säkerhet för digitala tjänster – 10,66

ID: RMiT 10.66 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Aktivitetsloggen ska behållas i minst ett år Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagarna är inställda på 0). AuditIfNotExists, Inaktiverad 1.0.0
App Service appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, Inaktiverad 2.0.1
Granska diagnostikinställning Granska diagnostikinställningen för valda resurstyper AuditIfNotExists 1.1.0
Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" AuditIfNotExists, Inaktiverad 1.0.0
Azure Monitor-loggar för Application Insights bör länkas till en Log Analytics-arbetsyta Länka Application Insights-komponenten till en Log Analytics-arbetsyta för loggkryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina data i Azure Monitor. Om du länkar din komponent till en Log Analytics-arbetsyta som är aktiverad med en kundhanterad nyckel ser du till att Application Insights-loggarna uppfyller detta efterlevnadskrav. Mer information https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keysfinns i . audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Monitor bör samla in aktivitetsloggar från alla regioner Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive global. AuditIfNotExists, Inaktiverad 2.0.0
Azure Monitor-lösningen "Säkerhet och granskning" måste distribueras Den här principen säkerställer att säkerhet och granskning distribueras. AuditIfNotExists, Inaktiverad 1.0.0
Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. AuditIfNotExists, Inaktiverad 1.0.0
Distribuera – Konfigurera diagnostikinställningar för SQL-databaser till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för SQL-databaser för att strömma resursloggar till en Log Analytics-arbetsyta när alla SQL Database som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 4.0.0
Distribuera – Konfigurera Log Analytics-tillägget så att det är aktiverat på virtuella Windows-datorer Distribuera Log Analytics-tillägget för virtuella Windows-datorer om den virtuella datoravbildningen finns i listan som definierats och tillägget inte är installerat. Utfasningsmeddelande: Log Analytics-agenten är på en utfasningsväg och stöds inte efter den 31 augusti 2024. Du måste migrera till ersättningsagenten "Azure Monitor" före det datumet. DeployIfNotExists, Inaktiverad 3.0.1
Distribuera diagnostikinställningar för Batch-konto till Händelsehubb Distribuerar diagnostikinställningarna för Batch-kontot för att strömma till en regional händelsehubb när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Batch-konto till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Batch-konto att strömma till en regional Log Analytics-arbetsyta när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Distribuera diagnostikinställningar för Data Lake Analytics till Event Hub Distribuerar diagnostikinställningarna för Data Lake Analytics att strömma till en regional händelsehubb när alla Data Lake Analytics som saknar diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Data Lake Analytics till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Data Lake Analytics att strömma till en regional Log Analytics-arbetsyta när alla Data Lake Analytics som saknar diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Distribuera diagnostikinställningar för Data Lake Storage Gen1 till händelsehubben Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 att strömma till en regional händelsehubb när alla Data Lake Storage Gen1 som saknar diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Data Lake Storage Gen1 till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 att strömma till en regional Log Analytics-arbetsyta när alla Data Lake Storage Gen1 som saknar diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Distribuera diagnostikinställningar för händelsehubben till händelsehubben Distribuerar diagnostikinställningarna för händelsehubben som ska strömmas till en regional händelsehubb när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.1.0
Distribuera diagnostikinställningar för Event Hub till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för händelsehubben för att strömma till en regional Log Analytics-arbetsyta när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.1.0
Distribuera diagnostikinställningar för Key Vault till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Key Vault att strömma till en regional Log Analytics-arbetsyta när alla Key Vault som saknar diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 3.0.0
Distribuera diagnostikinställningar för Logic Apps till Event Hub Distribuerar diagnostikinställningarna för Logic Apps för att strömma till en regional händelsehubb när eventuella Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Logic Apps till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Logic Apps för att strömma till en regional Log Analytics-arbetsyta när alla Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Distribuera diagnostikinställningar för Search Services till Event Hub Distribuerar diagnostikinställningarna för Search Services för att strömma till en regional händelsehubb när söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Search Services till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Search Services för att strömma till en regional Log Analytics-arbetsyta när alla söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Distribuera diagnostikinställningar för Service Bus till Event Hub Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional händelsehubb när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Service Bus till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Service Bus för att strömma till en regional Log Analytics-arbetsyta när en Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Stream Analytics till Event Hub Distribuerar diagnostikinställningarna för Stream Analytics för att strömma till en regional händelsehubb när alla Stream Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 2.0.0
Distribuera diagnostikinställningar för Stream Analytics till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Stream Analytics för att strömma till en regional Log Analytics-arbetsyta när alla Stream Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Inaktiverad 1.0.0
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer i listan Rapporterar vm-skalningsuppsättningar som icke-kompatibla om den virtuella datoravbildningen inte finns i listan som definierats och tillägget inte är installerat. AuditIfNotExists, Inaktiverad 2.0.1
Resursloggar i Azure Key Vault Managed HSM ska vara aktiverade Om du vill återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras kanske du vill granska genom att aktivera resursloggar på hanterade HSM:er. Följ anvisningarna här: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Inaktiverad 1.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, Inaktiverad 5.0.0
Log Analytics-tillägget bör installeras på Virtual Machine Scale Sets Den här principen granskar alla Windows/Linux-Virtual Machine Scale Sets om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Inaktiverad 1.0.1
Log Analytics-tillägget ska vara installerat på virtuella datorer Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1

Säkerhet för digitala tjänster – 10.68

ID: RMiT 10.68 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda den senaste TLS-versionen Uppgradera till den senaste TLS-versionen. AuditIfNotExists, inaktiverad 2.0.0

Distribuerad överbelastningstjänst (DDoS)

Distribuerad överbelastningstjänst (DDoS) – 11.13

ID: RMiT 11.13 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Web Application Firewall bör vara aktiverat för Startpunkter för Azure Front Door Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2

Dataförlustskydd (DLP)

Dataförlustskydd (DLP) – 11,15

ID: RMiT 11.15 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Rensningsskydd bör vara aktiverat för Azure Key Vault Managed HSM Skadlig borttagning av en Azure Key Vault Managed HSM kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa Azure Key Vault Managed HSM. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjukt borttagna Azure Key Vault Managed HSM. Ingen i din organisation eller Microsoft kommer att kunna rensa din Azure Key Vault Managed HSM under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 1.0.0
Azure Monitor-loggkluster ska krypteras med kundhanterad nyckel Skapa Azure Monitor-loggkluster med kundhanterad nyckelkryptering. Som standard krypteras loggdata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kundhanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Konfigurera App Configuration för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för App Configuration så att den inte är tillgänglig via det offentliga Internet. Den här konfigurationen hjälper till att skydda dem mot dataläckagerisker. Du kan begränsa exponeringen av dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint. Ändra, inaktiverad 1.0.0
Konfigurera Azure SQL Server för att inaktivera åtkomst till offentligt nätverk Om du inaktiverar den offentliga nätverksåtkomstegenskapen stängs den offentliga anslutningen av så att Azure SQL Server endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomsten till det offentliga nätverket för alla databaser under Azure SQL Server. Ändra, inaktiverad 1.0.0
Konfigurera containerregister för att inaktivera åtkomst till offentligt nätverk Inaktivera åtkomst till offentligt nätverk för containerregisterresursen så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link. Ändra, inaktiverad 1.0.0
Konfigurera hanterade diskar för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din hanterade diskresurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/disksprivatelinksdoc. Ändra, inaktiverad 2.0.0
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Rensningsskydd bör vara aktiverat för nyckelvalv Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En skadlig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjukt borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Granska, neka, inaktiverad 2.0.0
Mjuk borttagning ska vara aktiverat för nyckelvalv Om du tar bort ett nyckelvalv utan mjuk borttagning permanent tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0
Hanterade diskar bör inaktivera åtkomst till offentligt nätverk Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att en hanterad disk inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen av hanterade diskar. Läs mer på: https://aka.ms/disksprivatelinksdoc. Granskning, inaktiverad 2.0.0
Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kundhanterad nyckelkryptering Om du kräver en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja de tillåtna krypterade uppsättningarna och alla andra avvisas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk. Granska, neka, inaktiverad 2.0.0
Ändra – Konfigurera Azure File Sync för att inaktivera åtkomst till offentligt nätverk Den Azure File Sync internettillgängliga offentliga slutpunkten inaktiveras av din organisationsprincip. Du kan fortfarande komma åt Tjänsten för synkronisering av lagring via dess privata slutpunkter. Ändra, inaktiverad 1.0.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
Transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskrav AuditIfNotExists, Inaktiverad 2.0.0

Security Operations Centre (SOC)

Security Operations Centre (SOC) – 11.17

ID: RMiT 11.17 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. AuditIfNotExists, Inaktiverad 3.0.0
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Email meddelande till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, Inaktiverad 2.0.0
Slutpunktsskyddslösningen bör installeras på VM-skalningsuppsättningar Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. AuditIfNotExists, Inaktiverad 3.0.0
Inställningarna för sårbarhetsbedömning för SQL-servern bör innehålla en e-postadress för att ta emot genomsökningsrapporter Kontrollera att en e-postadress anges för fältet Skicka genomsökningsrapporter till i inställningarna för sårbarhetsbedömning. Den här e-postadressen tar emot sammanfattningen av genomsökningsresultatet efter att en periodisk genomsökning har körts på SQL-servrar. AuditIfNotExists, Inaktiverad 2.0.0

Security Operations Centre (SOC) – 11.18

ID: RMiT 11.18 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granskning på SQL Server ska vara aktiverat Granskning av din SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, Inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration Om du vill övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och eventuella nya som skapas. AuditIfNotExists, Inaktiverad 1.0.1
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandarden ska vara aktiverad för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, Inaktiverad 3.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Frånkopplingar ska loggas för PostgreSQL-databasservrar. Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverad. AuditIfNotExists, Inaktiverad 1.0.0
Email meddelande för aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer. AuditIfNotExists, Inaktiverad 1.0.1
Log Analytics-agenten ska installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, Inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. AuditIfNotExists, inaktiverad 1.0.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Loggvaraktighet ska aktiveras för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_duration inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, inaktiverad 2.1.0
SQL-granskningsinställningarna bör ha Action-Groups konfigurerade för att avbilda kritiska aktiviteter Egenskapen AuditActionsAndGroups bör innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning AuditIfNotExists, inaktiverad 1.0.0
Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem För att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Säkerhetsåtgärdscenter (SOC) – 11.20

ID: RMiT 11.20 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS-/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS-/datadiskcacheminnen krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. Granska, neka, inaktiverad 1.0.0

Cyberriskhantering

Cyber riskhantering - 11,2

ID: RMiT 11.2 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS-/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS-/datadiskcacheminnen krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. Granska, neka, inaktiverad 1.0.0

Cyberriskhantering - 11,4

ID: RMiT 11.4 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett befintligt Recovery Services-valv på samma plats Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Detta är användbart när det finns ett centralt team i din organisation som hanterar säkerhetskopieringar för alla resurser i en prenumeration. Du kan också exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Otillåtna resurstyper Begränsa vilka resurstyper som kan distribueras i din miljö. Om du begränsar resurstyper kan du minska komplexiteten och angreppsytan i din miljö samtidigt som du kan hantera kostnader. Kompatibilitetsresultat visas endast för icke-kompatibla resurser. Granska, neka, inaktiverad 2.0.0
Endast godkända VM-tillägg ska installeras Den här principen styr de tillägg för virtuella datorer som inte är godkända. Granska, neka, inaktiverad 1.0.0

Säkerhetsåtgärdscenter (SOC) – 11.17

ID: RMiT 11.17 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Reglerna för listan över tillåtna i din princip för anpassningsbar programkontroll bör uppdateras Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Center anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslår en lista över kända och säkra program. Dessa presenteras som rekommenderade appar för att tillåta anpassningsbara principer för programkontroll. AuditIfNotExists, inaktiverad 3.0.0
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Email meddelande till prenumerationsägaren om aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns ett potentiellt säkerhetsintrång i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Endpoint Protection-lösningen bör installeras på VM-skalningsuppsättningar Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina VM-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. AuditIfNotExists, inaktiverad 3.0.0
Inställningarna för sårbarhetsbedömning för SQL Server ska innehålla en e-postadress för att ta emot genomsökningsrapporter Kontrollera att en e-postadress har angetts för fältet Skicka skanningsrapporter till i inställningarna för sårbarhetsbedömning. Den här e-postadressen tar emot sammanfattningen av genomsökningsresultatet efter en periodisk genomsökning som körs på SQL-servrar. AuditIfNotExists, inaktiverad 2.0.0

Säkerhetscenter (SOC) – 11.18

ID: RMiT 11.18 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Granskning på SQL Server ska vara aktiverat Granskning av SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration För att övervaka säkerhetsproblem och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och alla nya som skapas. AuditIfNotExists, inaktiverad 1.0.1
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandarden ska vara aktiverad för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella databassårbarheter, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Frånkopplingar ska loggas för PostgreSQL-databasservrar. Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Email meddelande om aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för varningar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.0.1
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad, vilket Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. AuditIfNotExists, inaktiverad 1.0.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Loggvaraktighet ska aktiveras för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att log_duration inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller en kompromiss. AuditIfNotExists, inaktiverad 2.1.0
SQL-granskningsinställningarna bör ha Action-Groups konfigurerade för att avbilda kritiska aktiviteter Egenskapen AuditActionsAndGroups bör innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning AuditIfNotExists, inaktiverad 1.0.0
Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem För att säkerställa att relevanta personer i organisationen meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Säkerhetsåtgärdscenter (SOC) – 11.20

ID: RMiT 11.20 Ägarskap: Delad

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och skalningsuppsättningsdata för virtuella datorer. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcacheminnen krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. Granska, neka, inaktiverad 1.0.0

Cyberriskhantering – 11,2

ID: RMiT 11.2 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och skalningsuppsättningsdata för virtuella datorer. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcacheminnen krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. Granska, neka, inaktiverad 1.0.0

Cyberriskhantering – 11,4

ID: RMiT 11.4 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett befintligt Recovery Services-valv på samma plats Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Detta är användbart när det finns ett centralt team i din organisation som hanterar säkerhetskopieringar för alla resurser i en prenumeration. Du kan också exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Otillåtna resurstyper Begränsa vilka resurstyper som kan distribueras i din miljö. Om du begränsar resurstyper kan du minska komplexiteten och angreppsytan i din miljö samtidigt som du kan hantera kostnader. Efterlevnadsresultat visas endast för icke-kompatibla resurser. Granska, neka, inaktiverad 2.0.0
Endast godkända VM-tillägg ska installeras Den här principen styr de tillägg för virtuella datorer som inte är godkända. Granska, neka, inaktiverad 1.0.0

Cybersäkerhetsåtgärder

Cybersäkerhetsåtgärder – 11,5

ID: RMiT 11.5 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage ger identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, Inaktiverad 1.0.3
Distribuera Advanced Threat Protection på lagringskonton Den här principen aktiverar Advanced Threat Protection på lagringskonton. DeployIfNotExists, Inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar tillhandahåller härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0

Cybersäkerhetsåtgärder – 11,8

ID: RMiT 11.8 Ägarskap: Delat

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje program för cyberrisker och säkerhet är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, Inaktiverad 3.0.0
Containerregisteravbildningar bör lösa sårbarhetsresultat Sårbarhetsbedömning av containeravbildningar söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. AuditIfNotExists, Inaktiverad 2.0.1
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 1.0.1
Sårbarhetsbedömning ska aktiveras på dina SQL-servrar Granska Azure SQL servrar som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, Inaktiverad 2.0.0

Kontrollåtgärder för cybersäkerhet

Kontrollåtgärder för cybersäkerhet – bilaga 5.2

ID: RMiT Bilaga 5.2 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att härda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända säkra program. AuditIfNotExists, Inaktiverad 3.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0

Kontrollåtgärder för cybersäkerhet – bilaga 5.3

ID: RMiT Bilaga 5.3 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar bör inte ha CORS konfigurerat så att alla resurser får åtkomst till dina appar Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, Inaktiverad 2.0.0
App Service appar ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 3.0.0
App Service appar ska endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar ska använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. För närvarande gäller den här principen endast för Linux-webbappar. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Java-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder PHP bör använda den senaste PHP-versionen Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Användning av den senaste PHP-versionen för App Service appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar som använder Python bör använda den senaste Python-versionen Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Användning av den senaste Python-versionen för App Service appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. AuditIfNotExists, Inaktiverad 4.0.0
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granskning, inaktiverad 3.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar som använder Java bör använda den senaste Java-versionen Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Du rekommenderas att använda den senaste Java-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. För närvarande gäller den här principen endast för Linux-appar. AuditIfNotExists, Inaktiverad 3.0.0
Funktionsappar som använder Python bör använda den senaste Python-versionen Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Du rekommenderas att använda den senaste Python-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar eftersom Python inte stöds i Windows-appar. AuditIfNotExists, Inaktiverad 4.0.0

Kontrollåtgärder för cybersäkerhet – bilaga 5.5

ID: RMiT Bilaga 5.5 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
En anpassad IPsec/IKE-princip måste tillämpas på alla Azure Virtual Network Gateway-anslutningar Den här principen säkerställer att alla azure-anslutningar för virtuella nätverksgatewayer använder en anpassad IKE-princip (Internet Protocol Security(Ipsec)/Internet Key Exchange(IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 Granskning, inaktiverad 1.0.0
Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser Använd tillåtna externa IP-adresser för att undvika den potentiella attacken (CVE-2020-8554) i ett Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.0.1

Kontrollåtgärder för cybersäkerhet – bilaga 5.6

ID: RMiT Bilaga 5.6 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure SQL Database ska köra TLS version 1.2 eller senare Om du ställer in TLS-versionen på 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väl dokumenterade säkerhetsrisker. Granska, inaktiverad, neka 2.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Azure Database for MySQL-servern till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man in the middle"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.0.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 7.0.0
MariaDB-servern bör använda en tjänstslutpunkt för virtuellt nätverk Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett visst undernät till Azure Database for MariaDB samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for MariaDB har tjänstslutpunkten för virtuella nätverk som används. AuditIfNotExists, Inaktiverad 1.0.2
MySQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett visst undernät till Azure Database for MySQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for MySQL har tjänstslutpunkten för virtuella nätverk som används. AuditIfNotExists, Inaktiverad 1.0.2
PostgreSQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett visst undernät till Azure Database for PostgreSQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for PostgreSQL har tjänstslutpunkten för virtuella nätverk som används. AuditIfNotExists, Inaktiverad 1.0.2
Åtkomst till offentligt nätverk på Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att din Azure SQL-databas endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför AzureS IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina Azure Database for MySQL flexibla servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Offentlig nätverksåtkomst bör inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför AzureS IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Offentlig nätverksåtkomst bör inaktiveras för flexibla PostgreSQL-servrar Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att se till att dina Azure Database for PostgreSQL flexibla servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 3.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
SQL Managed Instance bör ha den lägsta TLS-versionen av 1.2 Om du ställer in lägsta TLS-version på 1.2 förbättras säkerheten genom att säkerställa att din SQL Managed Instance endast kan nås från klienter med TLS 1.2. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väl dokumenterade säkerhetsrisker. Granskning, inaktiverad 1.0.1
Brandväggsregeln för virtuella nätverk på Azure SQL Database ska vara aktiverad för att tillåta trafik från det angivna undernätet Virtuella nätverksbaserade brandväggsregler används för att aktivera trafik från ett visst undernät till Azure SQL Database samtidigt som trafiken hålls inom Azure-gränsen. AuditIfNotExists 1.0.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skriptkörning mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0
Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv i alla Web Application Firewall principer för Application Gateway. Granska, neka, inaktiverad 1.0.0
Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv i alla Web Application Firewall principer för Azure Front Door Service. Granska, neka, inaktiverad 1.0.0

Kontrollåtgärder för cybersäkerhet – bilaga 5.7

ID: RMiT Bilaga 5.7 Ägarskap: Kund

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, Inaktiverad 3.0.0
App Service appar ska ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service app. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
Automatisk etablering av Log Analytics-agenten ska vara aktiverad för din prenumeration Om du vill övervaka säkerhetsrisker och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, som tidigare kallades Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och eventuella nya som skapas. AuditIfNotExists, Inaktiverad 1.0.1
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandarden ska vara aktiverad för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, Inaktiverad 3.0.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, Inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan indikera hot mot SQL-databaser samt identifiera och klassificera känsliga data. AuditIfNotExists, Inaktiverad 1.0.2
Konfigurera Azure SQL Server för att aktivera privata slutpunktsanslutningar En privat slutpunktsanslutning möjliggör privat anslutning till din Azure SQL Database via en privat IP-adress i ett virtuellt nätverk. Den här konfigurationen förbättrar din säkerhetsstatus och stöder Azure-nätverksverktyg och -scenarier. DeployIfNotExists, Inaktiverad 1.0.0
Email meddelande för aviseringar med hög allvarlighetsgrad ska aktiveras Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer. AuditIfNotExists, Inaktiverad 1.0.1
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.1.0
Flödesloggar ska vara aktiverade för varje nätverkssäkerhetsgrupp Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverad. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör stängas av. AuditIfNotExists, Inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Resursdelning mellan ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, Inaktiverad 2.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordring krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, Inaktiverad 3.0.0
Log Analytics-agenten ska installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar alla virtuella Windows-/Linux-datorer om Log Analytics-agenten inte är installerad som Security Center använder för att övervaka säkerhetsrisker och hot AuditIfNotExists, Inaktiverad 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer (VM) för att övervaka säkerhetsrisker och hot. AuditIfNotExists, Inaktiverad 1.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar tillhandahåller härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, Inaktiverad 1.0.0
Microsoft IaaSAntimalware-tillägget bör distribueras på Windows-servrar Den här principen granskar alla virtuella Windows Server-datorer utan att Microsoft IaaSAntimalware-tillägget har distribuerats. AuditIfNotExists, Inaktiverad 1.1.0
Övervaka slutpunktsskydd som saknas i Azure Security Center Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Inaktiverad 3.0.0
Icke-internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Inaktiverad 3.0.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, Inaktiverad 1.0.2
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till undernätet. AuditIfNotExists, Inaktiverad 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, Inaktiverad 1.0.1
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika erbjudanden för diskkryptering: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Inaktiverad 2.0.3
Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. AuditIfNotExists, Inaktiverad 3.0.0

Nästa steg

Ytterligare artiklar om Azure Policy: