Regelefterlevnadskontroller för Azure Policy för virtuella Azure-datorer
Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar
Regelefterlevnad i Azure Policy ger Microsoft skapade och hanterade initiativdefinitioner, så kallade inbyggda, för efterlevnadsdomäner och säkerhetskontroller relaterade till olika efterlevnadsstandarder. På den här sidan visas efterlevnadsdomäner och säkerhetskontroller för Virtuella Azure-datorer . Du kan tilldela de inbyggda för en säkerhetskontroll individuellt för att göra dina Azure-resurser kompatibla med den specifika standarden.
Rubriken för varje inbyggd principdefinition länkar till principdefinitionen i Azure Portal. Använd länken i kolumnen Principversion för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Viktigt!
Varje kontroll är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy Regulatory Compliance-definitioner för dessa efterlevnadsstandarder kan ändras över tid.
Den australiska regeringens ISM PROTECTED-kontroller
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Australian Government ISM PROTECTED( Azure Policy Regulatory Compliance – Australian Government ISM PROTECTED). Mer information om den här efterlevnadsstandarden finns i Australian Government ISM PROTECTED.
Canada Federal PBMM
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Canada Federal PBMM. Mer information om den här efterlevnadsstandarden finns i Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CIS Microsoft Azure Foundations Benchmark 1.1.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.10 | Se till att ASC:s standardprincipinställning "Övervaka sårbarhetsbedömning" inte är "Inaktiverad" | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| 2 Security Center | 2,12 | Se till att ASC-standardprincipinställningen "Övervaka JIT-nätverksåtkomst" inte är "Inaktiverad" | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 2 Security Center | 2.4 | Se till att ASC:s standardprincipinställning "Övervaka säkerhetsproblem i operativsystemet" inte är "Inaktiverad" | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 2 Security Center | 2.9 | Se till att ASC-standardprincipinställningen "Aktivera nästa generations brandvägg(NGFW) övervakning" inte är "Inaktiverad" | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 7 virtuella datorer | 7,4 | Se till att endast godkända tillägg är installerade | Endast godkända VM-tillägg ska installeras | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CIS Microsoft Azure Foundations Benchmark 1.3.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| 7 virtuella datorer | 7.1 | Se till att virtuella datorer använder hanterade diskar | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 7 virtuella datorer | 7,4 | Se till att endast godkända tillägg är installerade | Endast godkända VM-tillägg ska installeras | 1.0.0 |
| 7 virtuella datorer | 7.6 | Se till att slutpunktsskyddet för alla virtuella datorer är installerat | Övervaka saknat Endpoint Protection i Azure Security Center | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för CIS v1.4.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| 7 virtuella datorer | 7.1 | Se till att virtuella datorer använder hanterade diskar | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 7 virtuella datorer | 7,4 | Se till att endast godkända tillägg är installerade | Endast godkända VM-tillägg ska installeras | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för CIS v2.0.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Kontrollera att Microsoft Defender-rekommendationen för "Tillämpa systemuppdateringar" är "Slutförd" | Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | 3.7.0 |
| 6 | 6.1 | Se till att RDP-åtkomst från Internet utvärderas och begränsas | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| 6 | 6,2 | Se till att SSH-åtkomsten från Internet utvärderas och begränsas | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| 7 | 7.2 | Se till att virtuella datorer använder hanterade diskar | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 7 | 7,4 | Kontrollera att "Ej anslutna diskar" är krypterade med "Kundhanterad nyckel" (CMK) | Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | 1.0.0 |
| 7 | 7.5 | Se till att endast godkända tillägg är installerade | Endast godkända VM-tillägg ska installeras | 1.0.0 |
CMMC-nivå 3
Mer information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CMMC-nivå 3. Mer information om den här efterlevnadsstandarden finns i CmMC (Cybersecurity Maturity Model Certification).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| Åtkomstkontroll | AC.1.003 | Verifiera och kontrollera/begränsa anslutningar till och användning av externa informationssystem. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Åtkomstkontroll | AC.2.007 | Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Åtkomstkontroll | AC.2.008 | Använd icke-privilegierade konton eller roller vid åtkomst till icke-säkerhetsfunktioner. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | 3.0.0 |
| Åtkomstkontroll | AC.2.008 | Använd icke-privilegierade konton eller roller vid åtkomst till icke-säkerhetsfunktioner. | Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | 3.0.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Åtkomstkontroll | AC.2.013 | Övervaka och kontrollera fjärråtkomstsessioner. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Åtkomstkontroll | AC.2.016 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Åtkomstkontroll | AC.2.016 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| Åtkomstkontroll | AC.3.017 | Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi. | Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| Åtkomstkontroll | AC.3.017 | Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi. | Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| Åtkomstkontroll | AC.3.018 | Förhindra att icke-privilegierade användare kör privilegierade funktioner och avbildar körningen av sådana funktioner i granskningsloggar. | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | 3.0.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | 3.0.0 |
| Åtkomstkontroll | AC.3.021 | Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. | Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | 3.0.0 |
| Granskning och ansvarsskyldighet | AU.2.041 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| Granskning och ansvarsskyldighet | AU.2.041 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| Granskning och ansvarsskyldighet | AU.2.041 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder. | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| Granskning och ansvarsskyldighet | AU.2.041 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder. | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | AU.2.041 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare så att de kan hållas ansvariga för sina åtgärder. | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| Granskning och ansvarsskyldighet | AU.2.042 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| Granskning och ansvarsskyldighet | AU.2.042 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| Granskning och ansvarsskyldighet | AU.2.042 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet. | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| Granskning och ansvarsskyldighet | AU.2.042 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet. | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | AU.2.042 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet. | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| Granskning och ansvarsskyldighet | AU.3.046 | Avisering i händelse av ett fel i granskningsloggningsprocessen. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| Granskning och ansvarsskyldighet | AU.3.046 | Avisering i händelse av ett fel i granskningsloggningsprocessen. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| Granskning och ansvarsskyldighet | AU.3.046 | Avisering i händelse av ett fel i granskningsloggningsprocessen. | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | AU.3.048 | Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| Granskning och ansvarsskyldighet | AU.3.048 | Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| Granskning och ansvarsskyldighet | AU.3.048 | Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser. | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| Granskning och ansvarsskyldighet | AU.3.048 | Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser. | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | AU.3.048 | Samla in granskningsinformation (t.ex. loggar) till en eller flera centrala lagringsplatser. | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| Säkerhetsbedömning | CA.2.158 | Utvärdera regelbundet säkerhetskontrollerna i organisationens system för att avgöra om kontrollerna är effektiva i deras program. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Säkerhetsbedömning | CA.3.161 | Övervaka säkerhetskontrollerna kontinuerligt för att säkerställa att kontrollerna fortsätter att vara effektiva. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Konfigurationshantering | CM.2.061 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Konfigurationshantering | CM.2.062 | Använd principen om minsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner. | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – Privilegierad användning" | 3.0.0 |
| Konfigurationshantering | CM.2.063 | Kontrollera och övervaka användarinstallerad programvara. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | 3.0.0 |
| Konfigurationshantering | CM.2.064 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Konfigurationshantering | CM.2.064 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Konfigurationshantering | CM.2.065 | Spåra, granska, godkänna eller ogilla och logga ändringar i organisationssystem. | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – principändring" | 3.0.0 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | 3.1.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | IA.1.077 | Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | 2.0.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | 2.1.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | IA.2.078 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | IA.2.079 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | IA.2.079 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | IA.2.079 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | 2.1.0 |
| Identifiering och autentisering | IA.2.079 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | IA.2.079 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | IA.2.081 | Lagra och överför endast kryptografiskt skyddade lösenord. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | IA.2.081 | Lagra och överför endast kryptografiskt skyddade lösenord. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | IA.2.081 | Lagra och överför endast kryptografiskt skyddade lösenord. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| Identifiering och autentisering | IA.2.081 | Lagra och överför endast kryptografiskt skyddade lösenord. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | IA.2.081 | Lagra och överför endast kryptografiskt skyddade lösenord. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | IA.3.084 | Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Återställning | RE.2.137 | Utför och testa regelbundet säkerhetskopieringar av data. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| Återställning | RE.2.137 | Utför och testa regelbundet säkerhetskopieringar av data. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| Återställning | RE.3.139 | Utför regelbundet fullständiga, omfattande och motståndskraftiga datasäkerhetskopior som organisatoriskt definierade. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| Återställning | RE.3.139 | Utför regelbundet fullständiga, omfattande och motståndskraftiga datasäkerhetskopior som organisatoriskt definierade. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| Riskbedömning | RM.2.141 | Utvärdera regelbundet risken för organisationens verksamhet (inklusive uppdrag, funktioner, bild eller rykte), organisationstillgångar och individer, till följd av driften av organisationssystem och tillhörande bearbetning, lagring eller överföring av CUI. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Riskbedömning | RM.2.142 | Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Riskbedömning | RM.2.143 | Åtgärda sårbarheter i enlighet med riskbedömningar. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Riskbedömning | RM.2.143 | Åtgärda sårbarheter i enlighet med riskbedömningar. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| System- och kommunikationsskydd | SC.1.176 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | SC.1.176 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | SC.2.179 | Använd krypterade sessioner för hantering av nätverksenheter. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | SC.3.177 | Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| System- och kommunikationsskydd | SC.3.181 | Separera användarfunktioner från systemhanteringsfunktioner. | Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| System- och kommunikationsskydd | SC.3.185 | Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| System- och kommunikationsskydd | SC.3.190 | Skydda autenticiteten hos kommunikationssessioner. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| System- och informationsintegritet | SI.1.210 | Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | SI.1.210 | Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| System- och informationsintegritet | SI.1.211 | Ge skydd mot skadlig kod på lämpliga platser i organisationens informationssystem. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | SI.1.211 | Ge skydd mot skadlig kod på lämpliga platser i organisationens informationssystem. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
| System- och informationsintegritet | SI.1.212 | Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | SI.1.213 | Utföra regelbundna genomsökningar av informationssystemet och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | SI.1.213 | Utföra regelbundna genomsökningar av informationssystemet och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
FedRAMP High
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP High. Mer information om den här efterlevnadsstandarden finns i FedRAMP High.
FedRAMP Moderate
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP Moderate( FedRAMP Moderate). Mer information om den här efterlevnadsstandarden finns i FedRAMP Moderate.
HIPAA HITRUST 9.2
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – HIPAA HITRUST 9.2. Mer information om den här efterlevnadsstandarden finns i HIPAA HITRUST 9.2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Användaridentifiering och autentisering | 11210.01q2Organizational.10 - 01.q | Elektroniska signaturer och handskrivna signaturer som skickas till elektroniska register ska kopplas till deras respektive elektroniska register. | Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| Användaridentifiering och autentisering | 11211.01q2Organizational.11 - 01.q | Signerade elektroniska register ska innehålla information som är kopplad till undertecknandet i läsbart format för människor. | Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Skydd mot skadlig kod och mobil kod | Distribuera standardtillägget Microsoft IaaSAntimalware för Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Skydd mot skadlig kod och mobil kod | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| 06 Konfigurationshantering | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Säkerhet för systemfiler | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 06 Konfigurationshantering | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Säkerhet för systemfiler | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – granskning" | 3.0.0 |
| 06 Konfigurationshantering | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Säkerhet för systemfiler | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – kontohantering" | 3.0.0 |
| 06 Konfigurationshantering | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 06 Konfigurationshantering | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Säkerhet i utveckling och supportprocesser | Windows-datorer bör uppfylla kraven för "Systemgranskningsprinciper – detaljerad spårning" | 3.0.0 |
| 07 Sårbarhetshantering | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Teknisk sårbarhetshantering | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| 07 Sårbarhetshantering | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Teknisk sårbarhetshantering | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 07 Sårbarhetshantering | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Teknisk sårbarhetshantering | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" | 3.0.0 |
| 07 Sårbarhetshantering | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Teknisk sårbarhetshantering | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| 07 Sårbarhetshantering | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Teknisk sårbarhetshantering | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 07 Sårbarhetshantering | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Teknisk sårbarhetshantering | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 08 Nätverksskydd | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 08 Nätverksskydd | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Nätverkssäkerhetshantering | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| 08 Nätverksskydd | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Nätverkssäkerhetshantering | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| 08 Nätverksskydd | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Nätverkssäkerhetshantering | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 08 Nätverksskydd | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Nätverkssäkerhetshantering | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| 08 Nätverksskydd | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Nätverkssäkerhetshantering | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 08 Nätverksskydd | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Nätverkssäkerhetshantering | Windows-datorer bör uppfylla kraven för "Windows-brandväggsegenskaper" | 3.0.0 |
| 08 Nätverksskydd | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Nätverkssäkerhetshantering | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" | 3.0.0 |
| 08 Nätverksskydd | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Nätverkssäkerhetshantering | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 08 Nätverksskydd | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Nätverkssäkerhetshantering | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| 08 Nätverksskydd | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Nätverksåtkomstkontroll | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Säkerhetskopiering | 1699.09l1Organizational.10 - 09.l | Arbetsstyrkans medlemmars roller och ansvarsområden i processen för datasäkerhetskopiering identifieras och förmedlas till personalen. I synnerhet måste BYOD-användare (Bring Your Own Device) utföra säkerhetskopior av organisations- och/eller klientdata på sina enheter. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| 09 Överföringsskydd | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Electronic Commerce Services | Granska Windows-datorer som inte innehåller de angivna certifikaten i betrodd rot | 3.0.0 |
| 11 Åtkomstkontroll | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Auktoriserad åtkomst till informationssystem | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 11 Åtkomstkontroll | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Nätverksåtkomstkontroll | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 11 Åtkomstkontroll | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Åtkomstkontroll för operativsystem | Granska Windows-datorer som har extra konton i gruppen Administratörer | 2.0.0 |
| 11 Åtkomstkontroll | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Åtkomstkontroll för operativsystem | Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| 11 Åtkomstkontroll | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Åtkomstkontroll för operativsystem | Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| 11 Åtkomstkontroll | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Auktoriserad åtkomst till informationssystem | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| 11 Åtkomstkontroll | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Auktoriserad åtkomst till informationssystem | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – konton" | 3.0.0 |
| 11 Åtkomstkontroll | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Auktoriserad åtkomst till informationssystem | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| 11 Åtkomstkontroll | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Nätverksåtkomstkontroll | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 11 Åtkomstkontroll | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Nätverksåtkomstkontroll | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 11 Åtkomstkontroll | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Nätverksåtkomstkontroll | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 11 Åtkomstkontroll | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Nätverksåtkomstkontroll | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| 12 Granskningsloggning och övervakning | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Övervakning | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| 12 Granskningsloggning och övervakning | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Övervakning | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| 12 Granskningsloggning och övervakning | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Övervakning | Granska Windows-datorer där Log Analytics-agenten inte är ansluten som förväntat | 2.0.0 |
| 12 Granskningsloggning och övervakning | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Övervakning | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| 12 Granskningsloggning och övervakning | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Övervakning | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| 12 Granskningsloggning och övervakning | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Övervakning | Granska Windows-datorer där Log Analytics-agenten inte är ansluten som förväntat | 2.0.0 |
| 12 Granskningsloggning och övervakning | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Dokumenterade driftprocedurer | Windows-datorer bör uppfylla kraven för "Tilldelning av användarrättigheter" | 3.0.0 |
| 12 Granskningsloggning och övervakning | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Dokumenterade driftprocedurer | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Användarkontokontroll" | 3.0.0 |
| 16 Affärskontinuitet och haveriberedskap | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Säkerhetskopiering av information | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| 16 Affärskontinuitet och haveriberedskap | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Säkerhetskopiering av information | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| 16 Affärskontinuitet och haveriberedskap | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Information Security Aspects of Business Continuity Management | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| 16 Affärskontinuitet och haveriberedskap | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Information Security Aspects of Business Continuity Management | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" | 3.0.0 |
| 16 Affärskontinuitet och haveriberedskap | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Information Security Aspects of Business Continuity Management | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
IRS 1075 september 2016
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – IRS 1075 September 2016. Mer information om den här efterlevnadsstandarden finns i IRS 1075 september 2016.
ISO 27001:2013
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Regelefterlevnad för Azure Policy – ISO 27001:2013. Mer information om den här efterlevnadsstandarden finns i ISO 27001:2013.
Konfidentiella principer för Microsoft Cloud for Sovereignty Baseline
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för sekretessprinciper för MCfS-suveränitetsbaslinje. Mer information om den här efterlevnadsstandarden finns i Microsoft Cloud for Sovereignty Policy-portföljen.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| SO.3 – Kundhanterade nycklar | SO.3 | Azure-produkter måste konfigureras för att använda kundhanterade nycklar när det är möjligt. | Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | 1.0.0 |
| SO.4 – Konfidentiell databehandling i Azure | SO.4 | Azure-produkter måste konfigureras för att använda SKU:er för konfidentiell databehandling i Azure när det är möjligt. | Tillåtna SKU:er för virtuell datorstorlek | 1.0.1 |
Globala principer för Microsoft Cloud for Sovereignty Baseline
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för globala principer för MCfS-suveränitetsbaslinje. Mer information om den här efterlevnadsstandarden finns i Microsoft Cloud for Sovereignty Policy-portföljen.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| SO.5 – Betrodd start | SO.5 | Virtuella datorer ska konfigureras med betrodda start-SKU:er och betrodd start aktiverat när det är möjligt. | Diskar och OS-avbildningar bör ha stöd för TrustedLaunch | 1.0.0 |
| SO.5 – Betrodd start | SO.5 | Virtuella datorer ska konfigureras med betrodda start-SKU:er och betrodd start aktiverat när det är möjligt. | Den virtuella datorn bör ha TrustedLaunch aktiverat | 1.0.0 |
Microsoft Cloud Security Benchmark
Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Information om hur den här tjänsten helt mappar till Microsofts molnsäkerhetsmått finns i mappningsfilerna för Azure Security Benchmark.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Microsoft Cloud Security Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Nätverkssäkerhet | NS-1 | Upprätta gränser för nätverkssegmentering | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Nätverkssäkerhet | NS-1 | Upprätta gränser för nätverkssegmentering | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Nätverkssäkerhet | NS-1 | Upprätta gränser för nätverkssegmentering | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Nätverkssäkerhet | NS-3 | Distribuera brandväggen i utkanten av företagsnätverket | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| Nätverkssäkerhet | NS-3 | Distribuera brandväggen i utkanten av företagsnätverket | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Nätverkssäkerhet | NS-3 | Distribuera brandväggen i utkanten av företagsnätverket | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| Identitetshantering | SNABBMEDDELANDE-3 | Hantera programidentiteter på ett säkert och automatiskt sätt | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Identitetshantering | SNABBMEDDELANDE 6 | Använda starka autentiseringskontroller | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| Identitetshantering | IM-8 | Begränsa exponeringen av autentiseringsuppgifter och hemligheter | Datorer bör ha hemliga resultat lösta | 1.0.2 |
| Privilegierad åtkomst | PA-2 | Undvik stående åtkomst för konton och behörigheter | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Dataskydd | DP-3 | Kryptera känsliga data under överföring | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Dataskydd | DP-4 | Aktivera vilande datakryptering som standard | Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | 1.2.1 |
| Dataskydd | DP-4 | Aktivera vilande datakryptering som standard | Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | 1.0.0 |
| Dataskydd | DP-4 | Aktivera vilande datakryptering som standard | Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | 1.1.1 |
| Tillgångshantering | AM-2 | Använd endast godkända tjänster | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| Loggning och hotidentifiering | LT-1 | Aktivera funktioner för hotidentifiering | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| Loggning och hotidentifiering | LT-2 | Aktivera hotidentifiering för identitets- och åtkomsthantering | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| Loggning och hotidentifiering | LT-4 | Aktivera nätverksloggning för säkerhetsundersökning | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| Loggning och hotidentifiering | LT-4 | Aktivera nätverksloggning för säkerhetsundersökning | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | 6.0.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | 5.1.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | 3.1.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter | 1.0.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | 2.0.0-preview |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Status- och sårbarhetshantering | PV-4 | Granska och framtvinga säkra konfigurationer för beräkningsresurser | Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | 2.0.0 |
| Status- och sårbarhetshantering | PV-5 | Utföra sårbarhetsbedömningar | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Status- och sårbarhetshantering | PV-5 | Utföra sårbarhetsbedömningar | Datorer bör ha hemliga resultat lösta | 1.0.2 |
| Status- och sårbarhetshantering | PV-6 | Åtgärda säkerhetsrisker snabbt och automatiskt | Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas | 3.7.0 |
| Status- och sårbarhetshantering | PV-6 | Åtgärda säkerhetsrisker snabbt och automatiskt | SQL-servrar på datorer bör ha sårbarhetsresultat lösta | 1.0.0 |
| Status- och sårbarhetshantering | PV-6 | Åtgärda säkerhetsrisker snabbt och automatiskt | Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) | 1.0.1 |
| Status- och sårbarhetshantering | PV-6 | Åtgärda säkerhetsrisker snabbt och automatiskt | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Slutpunktssäkerhet | ES-2 | Använda modern programvara mot skadlig kod | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| Säkerhetskopiering och återställning | BR-1 | Se till att regelbundna automatiserade säkerhetskopieringar | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| Säkerhetskopiering och återställning | BR-2 | Skydda säkerhetskopierings- och återställningsdata | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
NIST SP 800-171 R2
Mer information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-171 R2. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| Åtkomstkontroll | 3.1.1 | Begränsa systemåtkomsten till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra system). | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| Åtkomstkontroll | 3.1.12 | Övervaka och kontrollera fjärråtkomstsessioner. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| Åtkomstkontroll | 3.1.13 | Använd kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| Åtkomstkontroll | 3.1.14 | Dirigera fjärråtkomst via hanterade åtkomstkontrollpunkter. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| Åtkomstkontroll | 3.1.2 | Begränsa systemåtkomsten till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Åtkomstkontroll | 3.1.4 | Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi. | Granska Windows-datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| Åtkomstkontroll | 3.1.4 | Separera enskilda personers uppgifter för att minska risken för illvillig verksamhet utan maskopi. | Granska Windows-datorer som har de angivna medlemmarna i gruppen Administratörer | 2.0.0 |
| Riskbedömning | 3.11.2 | Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Riskbedömning | 3.11.2 | Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras. | SQL-servrar på datorer bör ha sårbarhetsresultat lösta | 1.0.0 |
| Riskbedömning | 3.11.2 | Sök efter sårbarheter i organisationssystem och program regelbundet och när nya sårbarheter som påverkar dessa system och program identifieras. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Riskbedömning | 3.11.3 | Åtgärda sårbarheter i enlighet med riskbedömningar. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Riskbedömning | 3.11.3 | Åtgärda sårbarheter i enlighet med riskbedömningar. | SQL-servrar på datorer bör ha sårbarhetsresultat lösta | 1.0.0 |
| Riskbedömning | 3.11.3 | Åtgärda sårbarheter i enlighet med riskbedömningar. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.10 | Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem. | Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | 1.0.0 |
| System- och kommunikationsskydd | 3.13.10 | Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem. | OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | 3.0.0 |
| System- och kommunikationsskydd | 3.13.16 | Skydda konfidentialiteten för CUI i vila. | Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | 1.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| System- och kommunikationsskydd | 3.13.8 | Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| System- och informationsintegritet | 3.14.1 | Identifiera, rapportera och korrigera systemfel i tid. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| System- och informationsintegritet | 3.14.1 | Identifiera, rapportera och korrigera systemfel i tid. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| System- och informationsintegritet | 3.14.1 | Identifiera, rapportera och korrigera systemfel i tid. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| System- och informationsintegritet | 3.14.2 | Ge skydd mot skadlig kod på angivna platser i organisationens system. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | 3.14.2 | Ge skydd mot skadlig kod på angivna platser i organisationens system. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
| System- och informationsintegritet | 3.14.2 | Ge skydd mot skadlig kod på angivna platser i organisationens system. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| System- och informationsintegritet | 3.14.4 | Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | 3.14.4 | Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
| System- och informationsintegritet | 3.14.4 | Uppdatera mekanismerna för skydd mot skadlig kod när nya versioner är tillgängliga. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| System- och informationsintegritet | 3.14.5 | Utföra regelbundna genomsökningar av organisationssystem och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| System- och informationsintegritet | 3.14.5 | Utföra regelbundna genomsökningar av organisationssystem och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
| System- och informationsintegritet | 3.14.5 | Utföra regelbundna genomsökningar av organisationssystem och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| System- och informationsintegritet | 3.14.6 | Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| System- och informationsintegritet | 3.14.6 | Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| System- och informationsintegritet | 3.14.6 | Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker. | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| System- och informationsintegritet | 3.14.6 | Övervaka organisationssystem, inklusive inkommande och utgående kommunikationstrafik, för att identifiera attacker och indikatorer för potentiella attacker. | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| System- och informationsintegritet | 3.14.7 | Identifiera obehörig användning av organisationssystem. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| System- och informationsintegritet | 3.14.7 | Identifiera obehörig användning av organisationssystem. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| System- och informationsintegritet | 3.14.7 | Identifiera obehörig användning av organisationssystem. | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| System- och informationsintegritet | 3.14.7 | Identifiera obehörig användning av organisationssystem. | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.1 | Skapa och behålla systemgranskningsloggar och -poster i den utsträckning som behövs för att möjliggöra övervakning, analys, undersökning och rapportering av olaglig eller obehörig systemaktivitet | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | Virtuella datorer ska vara anslutna till en angiven arbetsyta | 1.1.0 |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| Granskning och ansvarsskyldighet | 3.3.2 | Se till att enskilda systemanvändares åtgärder kan spåras unikt till dessa användare, så att de kan hållas ansvariga för sina åtgärder. | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | 2.0.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | 2.0.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | 3.1.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | 3.5.10 | Lagra och överför endast kryptografiskt skyddade lösenord. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | 3.1.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| Identifiering och autentisering | 3.5.2 | Autentisera (eller verifiera) identiteterna för användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationssystem. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | 3.5.4 | Använd återspelningsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade och icke-privilegierade konton. | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" | 3.0.0 |
| Identifiering och autentisering | 3.5.7 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | 3.5.7 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | 3.5.7 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | 2.0.0 |
| Identifiering och autentisering | 3.5.7 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | 2.1.0 |
| Identifiering och autentisering | 3.5.7 | Framtvinga en minsta lösenordskomplexitet och ändra tecken när nya lösenord skapas. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Identifiering och autentisering | 3.5.8 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Identifiering och autentisering | 3.5.8 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Identifiering och autentisering | 3.5.8 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | 2.1.0 |
| Identifiering och autentisering | 3.5.8 | Förhindra återanvändning av lösenord för ett angivet antal generationer. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| Medieskydd | 3.8.9 | Skydda konfidentialiteten för CUI för säkerhetskopiering på lagringsplatser. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
NIST SP 800-53 Rev. 4
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 4. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 5. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 5.
NL BIO-molntema
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för NL BIO Cloud Theme. Mer information om den här efterlevnadsstandarden finns i Baseline Information Security Government Cybersecurity – Digital Government (digitaleoverheid.nl).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| C.04.3 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.3 | Om sannolikheten för missbruk och den förväntade skadan båda är hög installeras korrigeringar senast inom en vecka. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| C.04.3 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.3 | Om sannolikheten för missbruk och den förväntade skadan båda är hög installeras korrigeringar senast inom en vecka. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| C.04.3 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.3 | Om sannolikheten för missbruk och den förväntade skadan båda är hög installeras korrigeringar senast inom en vecka. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| C.04.6 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.6 | Tekniska svagheter kan åtgärdas genom att utföra korrigeringshantering i tid. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| C.04.6 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.6 | Tekniska svagheter kan åtgärdas genom att utföra korrigeringshantering i tid. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| C.04.6 Teknisk hantering av säkerhetsrisker – tidslinjer | C.04.6 | Tekniska svagheter kan åtgärdas genom att utföra korrigeringshantering i tid. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| C.04.7 Teknisk hantering av säkerhetsrisker – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| C.04.7 Teknisk hantering av säkerhetsrisker – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| C.04.7 Teknisk hantering av säkerhetsrisker – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| C.04.8 Teknisk hantering av säkerhetsrisker – Utvärderad | C.04.8 | Utvärderingsrapporterna innehåller förslag på förbättringar och kommuniceras med chefer/ägare. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| C.04.8 Teknisk hantering av säkerhetsrisker – Utvärderad | C.04.8 | Utvärderingsrapporterna innehåller förslag på förbättringar och kommuniceras med chefer/ägare. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| U.03.1 Business Continuity Services – redundans | U.03.1 | Den överenskomna kontinuiteten garanteras av tillräckligt logiska eller fysiskt flera systemfunktioner. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.03.1 Business Continuity Services – redundans | U.03.1 | Den överenskomna kontinuiteten garanteras av tillräckligt logiska eller fysiskt flera systemfunktioner. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| U.03.2 Business Continuity Services – Krav på kontinuitet | U.03.2 | Kontinuitetskraven för molntjänster som överenskommits med CSC säkerställs av systemarkitekturen. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.03.2 Business Continuity Services – Krav på kontinuitet | U.03.2 | Kontinuitetskraven för molntjänster som överenskommits med CSC säkerställs av systemarkitekturen. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| U.04.1 Data och Cloud Service Recovery – återställningsfunktion | U.04.1 | Data- och molntjänsterna återställs inom den överenskomna perioden och maximal dataförlust och görs tillgängliga för CSC. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.04.2 Data och Cloud Service Recovery – återställningsfunktion | U.04.2 | Den kontinuerliga processen för återställningsbart skydd av data övervakas. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.04.3 Data och Cloud Service Recovery – testad | U.04.3 | Funktionen för återställningsfunktioner testas regelbundet och resultaten delas med CSC. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.05.1 Dataskydd – kryptografiska mått | U.05.1 | Datatransport skyddas med kryptografi där nyckelhantering utförs av själva CSC om möjligt. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | 6.0.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | 5.1.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | 4.0.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | 3.1.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | 4.0.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | 2.0.0-preview |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | 1.0.0 |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | 3.0.0 |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | 1.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Diskåtkomstresurser bör använda privat länk | 1.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| U.09.3 Skydd mot skadlig kod – identifiering, förebyggande och återställning | U.09.3 | Skydd mot skadlig kod körs i olika miljöer. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| U.09.3 Skydd mot skadlig kod – identifiering, förebyggande och återställning | U.09.3 | Skydd mot skadlig kod körs i olika miljöer. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| U.09.3 Skydd mot skadlig kod – identifiering, förebyggande och återställning | U.09.3 | Skydd mot skadlig kod körs i olika miljöer. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| U.09.3 Skydd mot skadlig kod – identifiering, förebyggande och återställning | U.09.3 | Skydd mot skadlig kod körs i olika miljöer. | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| U.11.1 Cryptoservices – Princip | U.11.1 | I kryptografipolicyn har åtminstone ämnena i enlighet med BIO utvecklats. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| U.11.1 Cryptoservices – Princip | U.11.1 | I kryptografipolicyn har åtminstone ämnena i enlighet med BIO utvecklats. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| U.11.2 Cryptoservices – Kryptografiska mått | U.11.2 | Om det gäller PKIoverheid-certifikat använder du PKIoverheid-krav för nyckelhantering. I andra situationer använder du ISO11770. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| U.11.2 Cryptoservices – Kryptografiska mått | U.11.2 | Om det gäller PKIoverheid-certifikat använder du PKIoverheid-krav för nyckelhantering. I andra situationer använder du ISO11770. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | 6.0.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | 5.1.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | 4.0.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | 3.1.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | 4.0.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | 2.0.0-preview |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar | 1.0.0 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | OPERATIVSYSTEM och datadiskar ska krypteras med en kundhanterad nyckel | 3.0.0 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | 1.0.0 |
| U.12.1-gränssnitt – Nätverksanslutningar | U.12.1 | I anslutningsplatser med externa eller ej betrodda zoner vidtas åtgärder mot attacker. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| U.12.1-gränssnitt – Nätverksanslutningar | U.12.1 | I anslutningsplatser med externa eller ej betrodda zoner vidtas åtgärder mot attacker. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| U.12.2-gränssnitt – Nätverksanslutningar | U.12.2 | Nätverkskomponenter är sådana att nätverksanslutningarna mellan betrodda och ej betrodda nätverk är begränsade. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| U.12.2-gränssnitt – Nätverksanslutningar | U.12.2 | Nätverkskomponenter är sådana att nätverksanslutningarna mellan betrodda och ej betrodda nätverk är begränsade. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Beroendeagenten ska vara aktiverad för avbildningar av virtuella datorer i listan | 2.0.0 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Beroendeagenten ska vara aktiverad i VM-skalningsuppsättningar för listade avbildningar av virtuella datorer | 2.0.0 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| U.15.3 Loggning och övervakning – Händelser loggade | U.15.3 | CSP har en lista över alla tillgångar som är kritiska när det gäller loggning och övervakning och granskar den här listan. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| U.15.3 Loggning och övervakning – Händelser loggade | U.15.3 | CSP har en lista över alla tillgångar som är kritiska när det gäller loggning och övervakning och granskar den här listan. | Beroendeagenten ska vara aktiverad för avbildningar av virtuella datorer i listan | 2.0.0 |
| U.15.3 Loggning och övervakning – Händelser loggade | U.15.3 | CSP har en lista över alla tillgångar som är kritiska när det gäller loggning och övervakning och granskar den här listan. | Beroendeagenten ska vara aktiverad i VM-skalningsuppsättningar för listade avbildningar av virtuella datorer | 2.0.0 |
| U.15.3 Loggning och övervakning – Händelser loggade | U.15.3 | CSP har en lista över alla tillgångar som är kritiska när det gäller loggning och övervakning och granskar den här listan. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| U.17.1 Arkitektur för flera klientorganisationer – Krypterad | U.17.1 | CSC-data vid transport och i vila krypteras. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| U.17.1 Arkitektur för flera klientorganisationer – Krypterad | U.17.1 | CSC-data vid transport och i vila krypteras. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
PCI DSS 3.2.1
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i PCI DSS 3.2.1. Mer information om den här efterlevnadsstandarden finns i PCI DSS 3.2.1.
PCI DSS v4.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för PCI DSS v4.0. Mer information om den här efterlevnadsstandarden finns i PCI DSS v4.0.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Krav 01: Installera och underhålla nätverkssäkerhetskontroller | 1.3.2 | Nätverksåtkomsten till och från korthållardatamiljön är begränsad | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Krav 01: Installera och underhålla nätverkssäkerhetskontroller | 1.4.2 | Nätverksanslutningar mellan betrodda och ej betrodda nätverk styrs | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata | 10.2.2 | Granskningsloggar implementeras för att stödja identifiering av avvikelser och misstänkt aktivitet samt den kriminaltekniska analysen av händelser | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata | 10.3.3 | Granskningsloggar skyddas mot förstörelse och obehöriga ändringar | Virtuella datorer ska migreras till nya Azure Resource Manager-resurser | 1.0.0 |
| Krav 11: Testa säkerheten för system och nätverk regelbundet | 11.3.1 | Externa och interna sårbarheter identifieras, prioriteras och åtgärdas regelbundet | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 11: Testa säkerheten för system och nätverk regelbundet | 11.3.1 | Externa och interna sårbarheter identifieras, prioriteras och åtgärdas regelbundet | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.1 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.1 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.2 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.2 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.3 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 05: Skydda alla system och nätverk från skadlig programvara | 5.2.3 | Skadlig programvara (skadlig kod) förhindras eller identifieras och åtgärdas | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 06: Utveckla och underhålla säkra system och programvara | 6.3.3 | Säkerhetsrisker identifieras och åtgärdas | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 06: Utveckla och underhålla säkra system och programvara | 6.3.3 | Säkerhetsrisker identifieras och åtgärdas | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 06: Utveckla och underhålla säkra system och programvara | 6.4.1 | Offentliga webbprogram skyddas mot attacker | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Krav 06: Utveckla och underhålla säkra system och programvara | 6.4.1 | Offentliga webbprogram skyddas mot attacker | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | 2.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | 2.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | 2.1.0 |
| Krav 08: Identifiera användare och autentisera åtkomst till systemkomponenter | 8.3.6 | Stark autentisering för användare och administratörer upprättas och hanteras | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
Reserve Bank of India – IT-ramverk för NBFC
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Reserve Bank of India – IT Framework för NBFC. Mer information om den här efterlevnadsstandarden finns i Reserve Bank of India – IT Framework för NBFC.
Reserve Bank of India IT Framework för banker v2016
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – RBI ITF Banks v2016. Mer information om den här efterlevnadsstandarden finns i RBI ITF Banks v2016 (PDF).
RMIT Malaysia
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – RMIT Malaysia. Mer information om den här efterlevnadsstandarden finns i RMIT Malaysia.
Spanien ENS
Mer information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för Spanien ENS. Mer information om den här efterlevnadsstandarden finns i CCN-STIC 884.
SWIFT CSP-CSCF v2021
Mer information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för SWIFT CSP-CSCF v2021. Mer information om den här efterlevnadsstandarden finns i SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för SWIFT CSP-CSCF v2022. Mer information om den här efterlevnadsstandarden finns i SWIFT CSP CSCF v2022.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1,1 | Se till att användarens lokala SWIFT-infrastruktur skyddas mot potentiellt komprometterade element i den allmänna IT-miljön och den externa miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1,1 | Se till att användarens lokala SWIFT-infrastruktur skyddas mot potentiellt komprometterade element i den allmänna IT-miljön och den externa miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1,1 | Se till att användarens lokala SWIFT-infrastruktur skyddas mot potentiellt komprometterade element i den allmänna IT-miljön och den externa miljön. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1,1 | Se till att användarens lokala SWIFT-infrastruktur skyddas mot potentiellt komprometterade element i den allmänna IT-miljön och den externa miljön. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1,1 | Se till att användarens lokala SWIFT-infrastruktur skyddas mot potentiellt komprometterade element i den allmänna IT-miljön och den externa miljön. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.2 | Begränsa och kontrollera allokering och användning av operativsystemkonton på administratörsnivå. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.3 | Skydda virtualiseringsplattformen och virtuella datorer som är värdar för SWIFT-relaterade komponenter på samma nivå som fysiska system. | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.4 | Kontrollera/skydda Internetåtkomst från operatörsdatorer och system i den säkra zonen. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.4 | Kontrollera/skydda Internetåtkomst från operatörsdatorer och system i den säkra zonen. | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.5A | Se till att kundens anslutningsinfrastruktur skyddas från den externa miljön och potentiellt komprometterade element i den allmänna IT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.5A | Se till att kundens anslutningsinfrastruktur skyddas från den externa miljön och potentiellt komprometterade element i den allmänna IT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.5A | Se till att kundens anslutningsinfrastruktur skyddas från den externa miljön och potentiellt komprometterade element i den allmänna IT-miljön. | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.5A | Se till att kundens anslutningsinfrastruktur skyddas från den externa miljön och potentiellt komprometterade element i den allmänna IT-miljön. | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| 1. Begränsa Internetåtkomst och skydda kritiska system från allmän IT-miljö | 1.5A | Se till att kundens anslutningsinfrastruktur skyddas från den externa miljön och potentiellt komprometterade element i den allmänna IT-miljön. | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| 2. Minska attackytan och sårbarheter | 2.1 | Säkerställ konfidentialitet, integritet och äkthet för programdataflöden mellan lokala SWIFT-relaterade komponenter. | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| 2. Minska attackytan och sårbarheter | 2.1 | Säkerställ konfidentialitet, integritet och äkthet för programdataflöden mellan lokala SWIFT-relaterade komponenter. | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| 2. Minska attackytan och sårbarheter | 2,2 | Minimera förekomsten av kända tekniska säkerhetsrisker på operatörsdatorer och i den lokala SWIFT-infrastrukturen genom att säkerställa leverantörssupport, tillämpa obligatoriska programuppdateringar och tillämpa säkerhetsuppdateringar i tid som är anpassade till den bedömda risken. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2,2 | Minimera förekomsten av kända tekniska säkerhetsrisker på operatörsdatorer och i den lokala SWIFT-infrastrukturen genom att säkerställa leverantörssupport, tillämpa obligatoriska programuppdateringar och tillämpa säkerhetsuppdateringar i tid som är anpassade till den bedömda risken. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2,2 | Minimera förekomsten av kända tekniska säkerhetsrisker på operatörsdatorer och i den lokala SWIFT-infrastrukturen genom att säkerställa leverantörssupport, tillämpa obligatoriska programuppdateringar och tillämpa säkerhetsuppdateringar i tid som är anpassade till den bedömda risken. | Granska virtuella Windows-datorer med en väntande omstart | 2.0.0 |
| 2. Minska attackytan och sårbarheter | 2,2 | Minimera förekomsten av kända tekniska säkerhetsrisker på operatörsdatorer och i den lokala SWIFT-infrastrukturen genom att säkerställa leverantörssupport, tillämpa obligatoriska programuppdateringar och tillämpa säkerhetsuppdateringar i tid som är anpassade till den bedömda risken. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Granska Linux-datorer som inte har passwd-filbehörigheter inställda på 0644 | 3.1.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Granska Windows-datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | 2.0.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 2. Minska attackytan och sårbarheter | 2.3 | Minska cyberangreppsytan för SWIFT-relaterade komponenter genom att utföra systemhärdning. | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 2. Minska attackytan och sårbarheter | 2.4A | Back-office Dataflöde Security | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| 2. Minska attackytan och sårbarheter | 2.4A | Back-office Dataflöde Security | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| 2. Minska attackytan och sårbarheter | 2.5A | Dataskydd för extern överföring | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| 2. Minska attackytan och sårbarheter | 2.5A | Dataskydd för extern överföring | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 2. Minska attackytan och sårbarheter | 2.5A | Dataskydd för extern överföring | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| 2. Minska attackytan och sårbarheter | 2,6 | Skydda konfidentialiteten och integriteten för interaktiva operatörssessioner som ansluter till den lokala eller fjärranslutna (som drivs av en tjänstleverantör) SWIFT-infrastruktur eller tjänstleverantör swift-relaterade program | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2,6 | Skydda konfidentialiteten och integriteten för interaktiva operatörssessioner som ansluter till den lokala eller fjärranslutna (som drivs av en tjänstleverantör) SWIFT-infrastruktur eller tjänstleverantör swift-relaterade program | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 2. Minska attackytan och sårbarheter | 2,6 | Skydda konfidentialiteten och integriteten för interaktiva operatörssessioner som ansluter till den lokala eller fjärranslutna (som drivs av en tjänstleverantör) SWIFT-infrastruktur eller tjänstleverantör swift-relaterade program | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 2. Minska attackytan och sårbarheter | 2,6 | Skydda konfidentialiteten och integriteten för interaktiva operatörssessioner som ansluter till den lokala eller fjärranslutna (som drivs av en tjänstleverantör) SWIFT-infrastruktur eller tjänstleverantör swift-relaterade program | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| 2. Minska attackytan och sårbarheter | 2,6 | Skydda konfidentialiteten och integriteten för interaktiva operatörssessioner som ansluter till den lokala eller fjärranslutna (som drivs av en tjänstleverantör) SWIFT-infrastruktur eller tjänstleverantör swift-relaterade program | Windows-datorer bör uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" | 3.0.0 |
| 2. Minska attackytan och sårbarheter | 2,7 | Identifiera kända sårbarheter i den lokala SWIFT-miljön genom att implementera en regelbunden sårbarhetsgenomsökningsprocess och agera efter resultat. | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| 2. Minska attackytan och sårbarheter | 2,7 | Identifiera kända sårbarheter i den lokala SWIFT-miljön genom att implementera en regelbunden sårbarhetsgenomsökningsprocess och agera efter resultat. | Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas | 3.1.0 |
| 3. Fysiskt skydda miljön | 3.1 | Förhindra obehörig fysisk åtkomst till känslig utrustning, arbetsplatsmiljöer, värdplatser och lagring. | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord | 3.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Linux-datorer som har konton utan lösenord | 3.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Windows-datorer som tillåter återanvändning av lösenorden efter det angivna antalet unika lösenord | 2.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Windows-datorer som inte har den högsta lösenordsåldern inställd på angivet antal dagar | 2.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Windows-datorer som inte har den lägsta lösenordsåldern inställd på angivet antal dagar | 2.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Windows-datorer som inte har inställningen för lösenordskomplexitet aktiverad | 2.0.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Granska Windows-datorer som inte begränsar den minsta lösenordslängden till angivet antal tecken | 2.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer | 3.1.0 |
| 4. Förhindra att autentiseringsuppgifter komprometteras | 4.1 | Se till att lösenord är tillräckligt motståndskraftiga mot vanliga lösenordsattacker genom att implementera och framtvinga en effektiv lösenordsprincip. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 5. Hantera identiteter och segregera privilegier | 5,1 | Framtvinga säkerhetsprinciperna för åtkomstbehov, minsta behörighet och ansvarsfördelning för operatörskonton. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 5. Hantera identiteter och segregera privilegier | 5,1 | Framtvinga säkerhetsprinciperna för åtkomstbehov, minsta behörighet och ansvarsfördelning för operatörskonton. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 5. Hantera identiteter och segregera privilegier | 5,1 | Framtvinga säkerhetsprinciperna för åtkomstbehov, minsta behörighet och ansvarsfördelning för operatörskonton. | Granska Windows-datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar | 2.0.0 |
| 5. Hantera identiteter och segregera privilegier | 5,1 | Framtvinga säkerhetsprinciperna för åtkomstbehov, minsta behörighet och ansvarsfördelning för operatörskonton. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 5. Hantera identiteter och segregera privilegier | 5.2 | Se till att rätt hantering, spårning och användning av ansluten och frånkopplad maskinvaruautentisering eller personliga token (när token används). | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| 5. Hantera identiteter och segregera privilegier | 5.4 | Skydda fysiskt och logiskt lagringsplatsen för registrerade lösenord. | Granska Windows-datorer som inte lagrar lösenord med omvändbar kryptering | 2.0.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.1 | Se till att den lokala SWIFT-infrastrukturen skyddas mot skadlig kod och vidta åtgärder mot resultat. | Microsoft Antimalware för Azure bör konfigureras för att automatiskt uppdatera skyddssignaturer | 1.0.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.1 | Se till att den lokala SWIFT-infrastrukturen skyddas mot skadlig kod och vidta åtgärder mot resultat. | Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar | 1.1.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | [Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan | 2.0.1-förhandsversion |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter | 4.1.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Lägg till systemtilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet | 4.1.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Granska virtuella datorer utan att haveriberedskap har konfigurerats | 1.0.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Distribuera Windows-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Windows-datorer | 1.2.0 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer som visas | 2.0.1 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Log Analytics-tillägget bör installeras på VM-skalningsuppsättningar | 1.0.1 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.4 | Registrera säkerhetshändelser och identifiera avvikande åtgärder i den lokala SWIFT-miljön. | Virtuella datorer bör ha Log Analytics-tillägget installerat | 1.0.1 |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.5A | Identifiera och innehålla avvikande nätverksaktivitet i och i den lokala eller fjärranslutna SWIFT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | 1.0.2-förhandsversion |
| 6. Identifiera avvikande aktivitet till system eller transaktionsposter | 6.5A | Identifiera och innehålla avvikande nätverksaktivitet i och i den lokala eller fjärranslutna SWIFT-miljön. | [Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer | 1.0.2-förhandsversion |
System- och organisationskontroller (SOC) 2
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance details for System and Organization Controls (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure Portal) |
Principversion (GitHub) |
|---|---|---|---|---|
| Ytterligare villkor för tillgänglighet | A1.2 | Miljöskydd, programvara, säkerhetskopieringsprocesser för data och återställningsinfrastruktur | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
| Riskbedömning | CC3.2 | COSO-princip 7 | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Autentisering till Linux-datorer bör kräva SSH-nycklar | 3.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | IP-vidarebefordran på den virtuella datorn bör inaktiveras | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Hanteringsportar bör stängas på dina virtuella datorer | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | 3.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | 4.1.1 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | 6.0.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | 5.1.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | 3.1.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | 2.0.0-preview |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Endast godkända VM-tillägg ska installeras | 1.0.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | 2.0.0 |
| Systemåtgärder | CC7.1 | Identifiering och övervakning av nya säkerhetsrisker | En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | 3.0.0 |
| Systemåtgärder | CC7.2 | Övervaka systemkomponenter för avvikande beteende | Windows Defender Exploit Guard ska vara aktiverat på dina datorer | 2.0.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | 6.0.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | 5.1.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | 3.1.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | 4.0.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | [Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | 2.0.0-preview |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Granska virtuella datorer som inte använder hanterade diskar | 1.0.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Gästkonfigurationstillägget ska installeras på dina datorer | 1.0.3 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | 2.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Endast godkända VM-tillägg ska installeras | 1.0.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | 1.0.1 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | 2.0.0 |
| Ytterligare kriterier för bearbetningsintegritet | PI1.5 | Lagra indata och utdata helt, korrekt och i rätt tid | Azure Backup ska vara aktiverat för virtuella datorer | 3.0.0 |
Styrning av UK OFFICIAL och UK NHS
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – UK OFFICIAL och UK NHS. Mer information om den här efterlevnadsstandarden finns i UK OFFICIAL.
Nästa steg
- Läs mer om regelefterlevnad i Azure Policy.
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.