Aracılığıyla paylaş


CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Kamu) Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının CIS Microsoft Azure Foundations Benchmark 1.1.0'daki (Azure Kamu) uyumluluk etki alanları ve denetimleriyle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark 1.1.0. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.

Aşağıdaki eşlemeler CIS Microsoft Azure Foundations Benchmark 1.1.0 denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından CIS Microsoft Azure Foundations Benchmark v1.1.0 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.

1 Kimlik ve Erişim Yönetimi

Çok faktörlü kimlik doğrulamasının tüm ayrıcalıklı kullanıcılar için etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0

Çok faktörlü kimlik doğrulamasının ayrıcalıklı olmayan tüm kullanıcılar için etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0

Konuk kullanıcı olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0

2 Güvenlik Merkezi

Standart fiyatlandırma katmanının seçildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Karşılaştırma önerisi 2.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.4

ASC Varsayılan ilke ayarının "JIT Ağ Erişimini İzle" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.12 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0

ASC Varsayılan ilke ayarının "SQL Denetimini İzle" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.14 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0

ASC Varsayılan ilke ayarının "SQL Şifrelemesini İzle" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.15 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0

'Güvenlik iletişim e-postaları' seçeneğinin ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.16 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

'Yüksek önem derecesi uyarıları için e-posta bildirimi gönder' ayarının 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.18 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1

'Abonelik sahiplerine de e-posta gönder' seçeneğinin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.19 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.0.0

ASC Varsayılan ilke ayarının "Sistem Güncelleştirmelerini İzle" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sistem güncelleştirmeleri makinelerinize yüklenmelidir Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0

ASC Varsayılan ilke ayarının "İşletim Sistemi Güvenlik Açıklarını İzle" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0

ASC Varsayılan ilke ayarının "Yeni Nesil Güvenlik Duvarı(NGFW) İzlemeyi Etkinleştir" ayarının "Devre Dışı" olmadığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0

3 Depolama Hesabı

'Güvenli aktarım gerekli' seçeneğinin 'Etkin' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 2.0.0

Depolama Hesapları için varsayılan ağ erişim kuralının reddetme olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1

Depolama Hesabı erişimi için 'Güvenilen Microsoft Hizmetleri'nin etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesapları güvenilen Microsoft hizmetleri erişime izin vermelidir Depolama hesaplarıyla etkileşim kuran bazı Microsoft hizmetleri, ağ kuralları aracılığıyla erişim verilmeyen ağlardan çalışır. Bu hizmet türünün amaçlandığı gibi çalışmasına yardımcı olmak için, güvenilen Microsoft hizmetleri kümesinin ağ kurallarını atlamasına izin verin. Bu hizmetler daha sonra depolama hesabına erişmek için güçlü kimlik doğrulaması kullanır. Denetim, Reddetme, Devre Dışı 1.0.0

4 Veritabanı Hizmetleri

'Denetim'in 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0

SQL Server'ın TDE koruyucus un BYOK ile şifrelendiğinden emin olun (Kendi anahtarınızı kullanın)

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.10 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.0
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.1

My SQL Veritabanı Server için 'SSL bağlantısını zorla' ayarının 'ENABLED' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.11 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1

Postgre SQL Veritabanı Sunucusu için 'log_checkpoints' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.12 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için günlük denetim noktaları etkinleştirilmelidir Bu ilke, log_checkpoints ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Sunucusu için 'SSL bağlantısını zorla' ayarının 'ENABLED' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.13 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1

Postgre SQL Veritabanı Server için 'log_connections' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.14 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için günlük bağlantıları etkinleştirilmelidir Bu ilke, log_connections ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Server için 'log_disconnections' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.15 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için bağlantı kesilmeleri günlüğe kaydedilmelidir. Bu ilke, ortamınızdaki postgreSQL veritabanlarını log_disconnections etkinleştirilmeden denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Sunucusu için 'connection_throttling' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.17 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için bağlantı azaltma etkinleştirilmelidir Bu ilke, Ortamınızdaki PostgreSQL veritabanlarını Bağlantı azaltma etkinleştirilmeden denetlemenize yardımcı olur. Bu ayar, çok fazla geçersiz parola oturum açma hatası için IP başına geçici bağlantı azaltmayı etkinleştirir. AuditIfNotExists, Devre Dışı 1.0.0

SQL sunucusu için 'denetim' ilkesindeki 'AuditActionGroups' öğesinin düzgün ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL Denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış Eylem Gruplarına sahip olmalıdır AuditActionsAndGroups özelliği, kapsamlı bir denetim günlüğü sağlamak için en az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP içermelidir AuditIfNotExists, Devre Dışı 1.0.0

'Denetim' Bekletme'nin '90 günden uzun' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0

SQL sunucusundaki 'Gelişmiş Veri Güvenliği'nin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2

Azure Active Directory Yöneticisi'nin yapılandırıldığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0

Bir SQL Veritabanı 'Veri şifrelemesi'nin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0

5 Günlük ve İzleme

Günlük Profilinin mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure aboneliklerinin Etkinlik Günlüğü için bir günlük profili olmalıdır Bu ilke, etkinlik günlüklerini dışarı aktarmak için bir günlük profilinin etkinleştirilip etkinleştirilmemesini sağlar. Günlükleri depolama hesabına veya olay hub'ına dışarı aktarmak için oluşturulmuş bir günlük profili olup olmadığını denetler. AuditIfNotExists, Devre Dışı 1.0.0

Etkinlik Günlüğü Saklama'nın 365 gün veya daha uzun bir zaman olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Etkinlik günlüğü en az bir yıl saklanmalıdır Bu ilke, saklama süresi 365 gün veya sonsuza kadar ayarlanmadıysa etkinlik günlüğünü denetler (bekletme günleri 0 olarak ayarlanır). AuditIfNotExists, Devre Dışı 1.0.0

Denetim profilinin tüm etkinlikleri yakaladığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure İzleyici günlük profili 'yazma,' 'sil' ve 'eylem' kategorileri için günlükleri toplamalıdır Bu ilke, günlük profilinin 'yazma,' 'silme' ve 'eylem' kategorileri için günlükleri toplamasını sağlar AuditIfNotExists, Devre Dışı 1.0.0

Günlük profilinin genel de dahil olmak üzere tüm bölgeler için etkinlik günlüklerini yakaladığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure İzleyici tüm bölgelerden etkinlik günlüklerini toplamalıdır Bu ilke, genel de dahil olmak üzere tüm Azure desteği bölgelerin etkinliklerini dışarı aktarmayan Azure İzleyici günlük profilini denetler. AuditIfNotExists, Devre Dışı 2.0.0

Etkinlik günlüklerine sahip kapsayıcıyı içeren depolama hesabının KAG ile şifrelendiğinden emin olun (Kendi Anahtarınızı Kullanın)

Kimlik: CIS Microsoft Azure Foundations Karşılaştırma önerisi 5.1.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Etkinlik günlüklerine sahip kapsayıcıyı içeren depolama hesabı BYOK ile şifrelenmelidir Bu ilke, etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabının KAG ile şifrelenip şifrelenmediğini denetler. İlke yalnızca depolama hesabı tasarım gereği etkinlik günlükleri ile aynı abonelikte yer alırsa çalışır. Bekleyen Azure Depolama şifrelemesi hakkında daha fazla bilgiyi burada https://aka.ms/azurestoragebyokbulabilirsiniz. AuditIfNotExists, Devre Dışı 1.0.0

Azure KeyVault günlüğünün 'Etkin' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Key Vault'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0

İlke Oluşturma Ataması için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli İlke işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli İlke işlemlerini denetler. AuditIfNotExists, Devre Dışı 3.0.0

Ağ Güvenlik Grubu Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubunu Sil için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubu Kuralı Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubunu Sil Kuralı için etkinlik günlüğü uyarısının mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik Çözümü Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik Çözümünü Sil için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

SQL Server Güvenlik Duvarı Kuralı Oluşturma veya Güncelleştirme veya Silme için Etkinlik Günlüğü Uyarısının mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Güncelleştirme Güvenlik İlkesi için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

6 Ağ İletişimi

Ağ İzleyicisi 'Etkin' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 6.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0

7 Sanal Makineler

Yalnızca onaylı uzantıların yüklendiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 7.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yalnızca onaylı VM uzantıları yüklenmelidir Bu ilke, onaylanmamış sanal makine uzantılarını yönetir. Denetim, Reddetme, Devre Dışı 1.0.0

Tüm Sanal Makineler için en son işletim sistemi düzeltme eklerinin uygulandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 7.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sistem güncelleştirmeleri makinelerinize yüklenmelidir Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0

8 Diğer Güvenlik Konuları

Anahtar kasasının kurtarılabilir olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 8.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Anahtar kasalarında silme koruması etkinleştirilmelidir Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. Denetim, Reddetme, Devre Dışı 2.1.0

Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 8.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. Denetim, Devre Dışı 1.0.4

9 AppService

App Service Kimlik Doğrulaması'nın Azure Uygulaması Hizmeti'ne ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarında kimlik doğrulaması etkinleştirilmelidir Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin web uygulamasına ulaşmasını engelleyebilen veya belirteçleri olan kişilerin kimliğini web uygulamasına ulaşmadan önce doğrulayan bir özelliktir. AuditIfNotExists, Devre Dışı 2.0.1
İşlev uygulamalarında kimlik doğrulaması etkinleştirilmelidir Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin İşlev uygulamasına ulaşmasını engelleyebilen veya İşlev uygulamasına ulaşmadan önce belirteçleri olan kişilerin kimliğini doğrulayan bir özelliktir. AuditIfNotExists, Devre Dışı 3.0.0

Web uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.10 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0
İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0

Web uygulamasının Azure Uygulaması Hizmeti'nde tüm HTTP trafiğini HTTPS'ye yönlendirdiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı, Reddet 4.0.0

Web uygulamasının TLS şifrelemesinin en son sürümünü kullandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.0.1
İşlev uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.0.1

Web uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' öğesinin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. Denetim, Devre Dışı 3.1.0 kullanım dışı
App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. AuditIfNotExists, Devre Dışı 1.0.0

App Service'te Azure Active Directory ile Kaydet'in etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0

Sonraki adımlar

Azure İlkesi hakkında ek makaleler: