Aracılığıyla paylaş


NIST SP 800-171 R2 Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının NIST SP 800-171 R2'deki uyumluluk etki alanları ve denetimlerle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-171 R2. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.

Aşağıdaki eşlemeler NIST SP 800-171 R2 denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından NIST SP 800-171 Rev. 2 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.

Erişim Denetimi

Sistem erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer sistemler dahil) sınırlayın.

Kimlik: NIST SP 800-171 R2 3.1.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
Aboneliğiniz için en fazla 3 sahip belirlenmelidir Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil AuditIfNotExists, Devre Dışı 3.1.0
Parolasız hesapları olan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleri uyumlu değilse makineler uyumlu değil AuditIfNotExists, Devre Dışı 3.1.0
Özel RBAC rollerinin kullanımını denetleme Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.1
Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Devre Dışı 3.2.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Spring Cloud ağ ekleme kullanmalıdır Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. Denetim, Devre Dışı, Reddet 1.2.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Bilgi sistemi hesap türlerini tanımlama CMA_0121 - Bilgi sistemi hesap türlerini tanımlama El ile, Devre Dışı 1.1.0
Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 3.1.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. Denetim, Reddetme, Devre Dışı 1.0.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. Denetim, Reddetme, Devre Dışı 1.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0

Tanımlanan bir koşuldan sonra kullanıcı oturumunu sonlandır (otomatik olarak).

Kimlik: NIST SP 800-171 R2 3.1.11 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kullanıcı oturumlarını otomatik olarak sonlandır CMA_C1054 - Kullanıcı oturumlarını otomatik olarak sonlandır El ile, Devre Dışı 1.1.0

Uzaktan erişim oturumlarını izleme ve denetleme.

Kimlik: NIST SP 800-171 R2 3.1.12 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil AuditIfNotExists, Devre Dışı 3.1.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Spring Cloud ağ ekleme kullanmalıdır Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. Denetim, Devre Dışı, Reddet 1.2.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 3.1.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Kuruluş genelinde erişimi izleme CMA_0376 - Kuruluş genelinde erişimi izleme El ile, Devre Dışı 1.1.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0

Uzaktan erişim oturumlarının gizliliğini korumak için şifreleme mekanizmaları kullanın.

Kimlik: NIST SP 800-171 R2 3.1.13 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Spring Cloud ağ ekleme kullanmalıdır Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. Denetim, Devre Dışı, Reddet 1.2.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Kullanıcılara sistem oturum açma veya erişimi bildirme CMA_0382 - Kullanıcılara sistem oturum açma veya erişimi bildirme El ile, Devre Dışı 1.1.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Şifreleme kullanarak aktarımdaki verileri koruma CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma El ile, Devre Dışı 1.1.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0

Yönetilen erişim denetim noktaları aracılığıyla uzaktan erişimi yönlendirme.

Kimlik: NIST SP 800-171 R2 3.1.14 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Spring Cloud ağ ekleme kullanmalıdır Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. Denetim, Devre Dışı, Reddet 1.2.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Trafiği yönetilen ağ erişim noktaları üzerinden yönlendirme CMA_0484 - Trafiği yönetilen ağ erişim noktaları üzerinden yönlendirme El ile, Devre Dışı 1.1.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0

Ayrıcalıklı komutların uzaktan yürütülmesini ve güvenlikle ilgili bilgilere uzaktan erişimi yetkilendirme.

Kimlik: NIST SP 800-171 R2 3.1.15 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Uzaktan erişimi yetkilendirme CMA_0024 - Uzaktan erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Ayrıcalıklı komutlara uzaktan erişimi yetkilendirme CMA_C1064 - Ayrıcalıklı komutlara uzaktan erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Belge uzaktan erişim yönergeleri CMA_0196 - Uzaktan erişim yönergelerini belgeleyin El ile, Devre Dışı 1.1.0
Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama CMA_0315 - Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Gizlilik eğitimi sağlama CMA_0415 - Gizlilik eğitimi sağlama El ile, Devre Dışı 1.1.0

Bu tür bağlantılara izin vermeden önce kablosuz erişimi yetkilendirme

Kimlik: NIST SP 800-171 R2 3.1.16 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kablosuz erişim yönergelerini belgeleyin ve uygulayın CMA_0190 - Kablosuz erişim yönergelerini belgeleyin ve uygulayın El ile, Devre Dışı 1.1.0
Kablosuz erişimi koruma CMA_0411 - Kablosuz erişimi koruma El ile, Devre Dışı 1.1.0

Kimlik doğrulaması ve şifreleme kullanarak kablosuz erişimi koruma

Kimlik: NIST SP 800-171 R2 3.1.17 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kablosuz erişim yönergelerini belgeleyin ve uygulayın CMA_0190 - Kablosuz erişim yönergelerini belgeleyin ve uygulayın El ile, Devre Dışı 1.1.0
Ağ cihazlarını tanımlama ve kimlik doğrulaması CMA_0296 - Ağ cihazlarını tanımlama ve kimlik doğrulaması El ile, Devre Dışı 1.1.0
Kablosuz erişimi koruma CMA_0411 - Kablosuz erişimi koruma El ile, Devre Dışı 1.1.0

Mobil cihazların bağlantısını denetleme.

Kimlik: NIST SP 800-171 R2 3.1.18 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Mobil cihaz gereksinimlerini tanımlama CMA_0122 - Mobil cihaz gereksinimlerini tanımlama El ile, Devre Dışı 1.1.0

Mobil cihazlarda ve mobil bilgi işlem platformlarında CUI şifreleme

Kimlik: NIST SP 800-171 R2 3.1.19 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Mobil cihaz gereksinimlerini tanımlama CMA_0122 - Mobil cihaz gereksinimlerini tanımlama El ile, Devre Dışı 1.1.0
Şifreleme kullanarak aktarımdaki verileri koruma CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma El ile, Devre Dışı 1.1.0

Sistem erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın.

Kimlik: NIST SP 800-171 R2 3.1.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Ayrıcalıklı işlevleri denetleme CMA_0019 - Ayrıcalıklı işlevleri denetleme El ile, Devre Dışı 1.1.0
Özel RBAC rollerinin kullanımını denetleme Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.1
Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme CMA_0022 - Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Erişimi yetkilendirme ve yönetme CMA_0023 - Erişimi yetkilendirme ve yönetme El ile, Devre Dışı 1.1.0
Uzaktan erişimi yetkilendirme CMA_0024 - Uzaktan erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 1.0.0
Tüm hesapların uygun kullanımını zorunlu kılma CMA_C1023 - Tüm hesapların uygun kullanımını zorunlu kılma El ile, Devre Dışı 1.1.0
Mantıksal erişimi zorunlu kılma CMA_0245 - Mantıksal erişimi zorunlu kılma El ile, Devre Dışı 1.1.0
Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma CMA_0246 - Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma El ile, Devre Dışı 1.1.0
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Ayrıcalıklı rol atamalarını izleme CMA_0378 - Ayrıcalıklı rol atamalarını izleme El ile, Devre Dışı 1.1.0
Hesap oluşturma için onay iste CMA_0431 - Hesap oluşturma için onay iste El ile, Devre Dışı 1.1.0
Ayrıcalıklı hesaplara erişimi kısıtlama CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama El ile, Devre Dışı 1.1.0
Hassas verilere erişimi olan kullanıcı gruplarını ve uygulamaları gözden geçirme CMA_0481 - Hassas verilere erişimi olan kullanıcı gruplarını ve uygulamaları gözden geçirme El ile, Devre Dışı 1.1.0
Ayrıcalıklı rolleri uygun şekilde iptal etme CMA_0483 - Ayrıcalıklı rolleri uygun şekilde iptal etme El ile, Devre Dışı 1.1.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. Denetim, Reddetme, Devre Dışı 1.0.0
Ayrıcalıklı kimlik yönetimini kullanma CMA_0533 - Ayrıcalıklı kimlik yönetimi kullanma El ile, Devre Dışı 1.1.0
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. Denetim, Reddetme, Devre Dışı 1.0.0

Dış sistemlerin bağlantılarını doğrulayın ve denetleyin/sınırlayın.

Kimlik: NIST SP 800-171 R2 3.1.20 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kaynaklara erişmek için hüküm ve koşullar oluşturma CMA_C1076 - Kaynaklara erişmek için hüküm ve koşullar oluşturma El ile, Devre Dışı 1.1.0
Kaynakları işlemek için hüküm ve koşullar oluşturma CMA_C1077 - Kaynakları işlemek için hüküm ve koşullar oluşturma El ile, Devre Dışı 1.1.0

Dış sistemlerde taşınabilir depolama cihazlarının kullanımını sınırlayın.

Kimlik: NIST SP 800-171 R2 3.1.21 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme El ile, Devre Dışı 1.1.0
Taşınabilir depolama cihazlarının kullanımını denetleme CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

Genel olarak erişilebilen sistemlerde yayınlanan veya işlenen CUI'leri denetleme.

Kimlik: NIST SP 800-171 R2 3.1.22 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yetkili personeli genel olarak erişilebilen bilgileri yayınlaması için belirleme CMA_C1083 - Herkese açık bilgileri yayınlamak için yetkili personel atama El ile, Devre Dışı 1.1.0
Genel olarak erişilebilen bilgileri göndermeden önce içeriği gözden geçirme CMA_C1085 - Genel olarak erişilebilen bilgileri göndermeden önce içeriği gözden geçirme El ile, Devre Dışı 1.1.0
Herkese açık olmayan bilgiler için genel olarak erişilebilen içeriği gözden geçirme CMA_C1086 - Genel olarak erişilebilen içeriği, abonelik dışı bilgiler için gözden geçirme El ile, Devre Dışı 1.1.0
Personeli, yayım dışı bilgilerin açıklanması konusunda eğitme CMA_C1084 - Kişisel olmayan bilgilerin açığa çıkması konusunda personeli eğitme El ile, Devre Dışı 1.1.0

CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin.

Kimlik: NIST SP 800-171 R2 3.1.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 3.1.0-önizleme
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Reddetme, Devre Dışı 1.0.2
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 2.0.0
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.1
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. Denetim, Reddetme, Devre Dışı 3.2.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.1.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security Denetim, Reddetme, Devre Dışı 3.2.1
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
Denetim bilgileri akışı CMA_0079 - Denetim bilgileri akışı El ile, Devre Dışı 1.1.0
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Şifrelenmiş bilgilerin akış denetim mekanizmalarını kullanma CMA_0211 - Şifrelenmiş bilgilerin akış denetim mekanizmalarını kullanma El ile, Devre Dışı 1.1.0
Güvenlik duvarı ve yönlendirici yapılandırma standartlarını oluşturma CMA_0272 - Güvenlik duvarı ve yönlendirici yapılandırma standartlarını oluşturma El ile, Devre Dışı 1.1.0
Kart sahibi veri ortamı için ağ segmentasyonu oluşturma CMA_0273 - Kart sahibi veri ortamı için ağ segmentasyonu oluşturma El ile, Devre Dışı 1.1.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Aşağı akış bilgi alışverişlerini tanımlama ve yönetme CMA_0298 - Aşağı akış bilgi değişimlerini tanımlama ve yönetme El ile, Devre Dışı 1.1.0
Güvenlik ilkesi filtrelerini kullanarak bilgi akışı denetimi CMA_C1029 - Güvenlik ilkesi filtrelerini kullanarak bilgi akışı denetimi El ile, Devre Dışı 1.1.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0

Kötü niyetli aktivite riskini harmanlamadan azaltmak için bireylerin görevlerini ayırın.

Kimlik: NIST SP 800-171 R2 3.1.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yöneticiler grubunda belirtilen üyelerden herhangi birinin eksik olduğu Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yöneticiler grubu ilke parametresinde listelenen bir veya daha fazla üye içermiyorsa makineler uyumsuz olur. auditIfNotExists 2.0.0
Yöneticiler grubunda belirtilen üyelere sahip Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yöneticiler grubu ilke parametresinde listelenen üyelerden birini veya daha fazlasını içeriyorsa makineler uyumsuz olur. auditIfNotExists 2.0.0
Görev ayrımını desteklemek için erişim yetkilendirmeleri tanımlama CMA_0116 - Görev ayrımını desteklemek için erişim yetkilendirmeleri tanımlama El ile, Devre Dışı 1.1.0
Görev ayrımını belgele CMA_0204 - Görev ayrımını belgele El ile, Devre Dışı 1.1.0
Bireylerin ayrı görevleri CMA_0492 - Kişilerin ayrı görevleri El ile, Devre Dışı 1.1.0
Aboneliğinize birden fazla sahip atanmış olmalıdır Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. AuditIfNotExists, Devre Dışı 3.0.0

Belirli güvenlik işlevleri ve ayrıcalıklı hesaplar da dahil olmak üzere en az ayrıcalık ilkesini kullanın.

Kimlik: NIST SP 800-171 R2 3.1.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirlenmelidir Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. AuditIfNotExists, Devre Dışı 3.0.0
Özel RBAC rollerinin kullanımını denetleme Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.1
Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme CMA_0022 - Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Erişimi yetkilendirme ve yönetme CMA_0023 - Erişimi yetkilendirme ve yönetme El ile, Devre Dışı 1.1.0
Erişim denetimi modeli tasarlama CMA_0129 - Erişim denetimi modeli tasarlama El ile, Devre Dışı 1.1.0
En az ayrıcalık erişimi kullanın CMA_0212 - En az ayrıcalık erişimi kullanın El ile, Devre Dışı 1.1.0
Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma CMA_0246 - Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma El ile, Devre Dışı 1.1.0
Ayrıcalıklı hesaplara erişimi kısıtlama CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama El ile, Devre Dışı 1.1.0

Ayrıcalıklı olmayan kullanıcıların ayrıcalıklı işlevleri yürütmesini engelleyin ve denetim günlüklerinde bu işlevlerin yürütülmesini yakalayın.

Kimlik: NIST SP 800-171 R2 3.1.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Ayrıcalıklı işlevleri denetleme CMA_0019 - Ayrıcalıklı işlevleri denetleme El ile, Devre Dışı 1.1.0
Günlüğe kaydedilen ayrıcalıklı komutların tam metin analizini yapma CMA_0056 - Günlüğe kaydedilen ayrıcalıklı komutların tam metin analizini yapma El ile, Devre Dışı 1.1.0
Ayrıcalıklı rol atamalarını izleme CMA_0378 - Ayrıcalıklı rol atamalarını izleme El ile, Devre Dışı 1.1.0
Ayrıcalıklı hesaplara erişimi kısıtlama CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama El ile, Devre Dışı 1.1.0
Ayrıcalıklı rolleri uygun şekilde iptal etme CMA_0483 - Ayrıcalıklı rolleri uygun şekilde iptal etme El ile, Devre Dışı 1.1.0
Ayrıcalıklı kimlik yönetimini kullanma CMA_0533 - Ayrıcalıklı kimlik yönetimi kullanma El ile, Devre Dışı 1.1.0

Başarısız oturum açma girişimlerini sınırlayın.

Kimlik: NIST SP 800-171 R2 3.1.8 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Ardışık başarısız oturum açma girişimleri sınırını zorlama CMA_C1044 - Ardışık başarısız oturum açma girişimlerinin sınırını zorlama El ile, Devre Dışı 1.1.0

Fiziksel Koruma

Kurumsal sistemlere, ekipmana ve ilgili işletim ortamlarına fiziksel erişimi yetkili kişilerle sınırlayın.

Kimlik: NIST SP 800-171 R2 3.10.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Fiziksel erişimi denetleme CMA_0081 - Fiziksel erişimi denetleme El ile, Devre Dışı 1.1.0

Kurumsal sistemler için fiziksel tesisi ve destek altyapısını koruma ve izleme.

Kimlik: NIST SP 800-171 R2 3.10.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Alarm sistemi yükleme CMA_0338 - Alarm sistemi yükleme El ile, Devre Dışı 1.1.0
Güvenli bir gözetim kamera sistemini yönetme CMA_0354 - Güvenli bir gözetim kamera sistemini yönetme El ile, Devre Dışı 1.1.0

Ziyaretçilere eşlik edin ve ziyaretçi etkinliğini izleyin.

Kimlik: NIST SP 800-171 R2 3.10.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Fiziksel erişimi denetleme CMA_0081 - Fiziksel erişimi denetleme El ile, Devre Dışı 1.1.0
Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama CMA_0323 - Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama El ile, Devre Dışı 1.1.0

Fiziksel erişimin denetim günlüklerini koruyun.

Kimlik: NIST SP 800-171 R2 3.10.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Fiziksel erişimi denetleme CMA_0081 - Fiziksel erişimi denetleme El ile, Devre Dışı 1.1.0

Fiziksel erişim cihazlarını denetleme ve yönetme.

Kimlik: NIST SP 800-171 R2 3.10.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Fiziksel erişimi denetleme CMA_0081 - Fiziksel erişimi denetleme El ile, Devre Dışı 1.1.0
Fiziksel anahtar yönetimi işlemi tanımlama CMA_0115 - Fiziksel anahtar yönetimi işlemi tanımlama El ile, Devre Dışı 1.1.0
Varlık envanteri oluşturma ve sürdürme CMA_0266 - Varlık envanteri oluşturma ve sürdürme El ile, Devre Dışı 1.1.0
Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama CMA_0323 - Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama El ile, Devre Dışı 1.1.0

Alternatif iş sitelerinde CUI için koruma önlemlerini zorunlu kılma.

Kimlik: NIST SP 800-171 R2 3.10.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama CMA_0315 - Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

Risk Değerlendirmesi

Kuruluş sistemlerinin çalışmasından ve CUI'nin işlenmesinden, depolanmasından veya iletiminden kaynaklanan kuruluş operasyonları, kuruluş varlıkları ve bireylere yönelik riski düzenli aralıklarla değerlendirin

Kimlik: NIST SP 800-171 R2 3.11.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Üçüncü taraf ilişkilerinde riski değerlendirme CMA_0014 - Üçüncü taraf ilişkilerinde riski değerlendirme El ile, Devre Dışı 1.1.0
Risk değerlendirmesi gerçekleştirme CMA_0388 - Risk değerlendirmesi gerçekleştirme El ile, Devre Dışı 1.1.0

Kurumsal sistemlerde ve uygulamalarda belirli aralıklarla ve bu sistemleri ve uygulamaları etkileyen yeni güvenlik açıkları belirlendiğinde güvenlik açıklarını tarayın.

Kimlik: NIST SP 800-171 R2 3.11.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. AuditIfNotExists, Devre Dışı 3.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Güvenlik açığı tarama etkinliklerini yürütmek için ayrıcalıklı erişim uygulama CMA_C1555 - Güvenlik açığı tarama etkinliklerini yürütmek için ayrıcalıklı erişim uygulama El ile, Devre Dışı 1.1.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik açığı taramaları gerçekleştirme CMA_0393 - Güvenlik açığı taramaları gerçekleştirme El ile, Devre Dışı 1.1.0
Bilgi sistemi kusurlarını düzeltme CMA_0427 - Bilgi sistemi kusurlarını düzeltme El ile, Devre Dışı 1.1.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.1.0
Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. AuditIfNotExists, Devre Dışı 1.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 1.0.1
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 3.0.0
Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik açıklarını risk değerlendirmelerine uygun olarak düzeltin.

Kimlik: NIST SP 800-171 R2 3.11.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. AuditIfNotExists, Devre Dışı 3.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik açığı taramaları gerçekleştirme CMA_0393 - Güvenlik açığı taramaları gerçekleştirme El ile, Devre Dışı 1.1.0
Bilgi sistemi kusurlarını düzeltme CMA_0427 - Bilgi sistemi kusurlarını düzeltme El ile, Devre Dışı 1.1.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.1.0
Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. AuditIfNotExists, Devre Dışı 1.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 1.0.1
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 3.0.0
Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik Değerlendirmesi

Denetimlerin uygulamalarında etkili olup olmadığını belirlemek için kuruluş sistemlerindeki güvenlik denetimlerini düzenli aralıklarla değerlendirin.

Kimlik: NIST SP 800-171 R2 3.12.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Güvenlik Denetimlerini Değerlendirme CMA_C1145 - Güvenlik Denetimlerini Değerlendirme El ile, Devre Dışı 1.1.0
Güvenlik değerlendirmesi sonuçları sunma CMA_C1147 - Güvenlik değerlendirmesi sonuçları sunma El ile, Devre Dışı 1.1.0
Güvenlik değerlendirme planı geliştirme CMA_C1144 - Güvenlik değerlendirme planı geliştirme El ile, Devre Dışı 1.1.0
Güvenlik Değerlendirmesi raporu oluşturma CMA_C1146 - Güvenlik Değerlendirmesi raporu oluşturma El ile, Devre Dışı 1.1.0

Kuruluş sistemlerindeki eksiklikleri düzeltmek ve güvenlik açıklarını azaltmak veya ortadan kaldırmak için tasarlanmış eylem planları geliştirin ve uygulayın.

Kimlik: NIST SP 800-171 R2 3.12.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
POA geliştirme CMA_C1156 - POA geliştirme El ile, Devre Dışı 1.1.0
Risk yönetimi stratejisi oluşturma CMA_0258 - Risk yönetimi stratejisi oluşturma El ile, Devre Dışı 1.1.0
Güvenlik programı işlemi için eylem ve kilometre taşları planlarını uygulama CMA_C1737 - Güvenlik programı işlemi için eylem planlarını ve kilometre taşlarını uygulama El ile, Devre Dışı 1.1.0
POA&M öğelerini güncelleştirme CMA_C1157 - POA&M öğelerini güncelleştirme El ile, Devre Dışı 1.1.0

Denetimlerin sürekli etkili olduğundan emin olmak için güvenlik denetimlerini sürekli olarak izleyin.

Kimlik: NIST SP 800-171 R2 3.12.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Algılamayı yapılandırma beyaz listesi CMA_0068 - Algılamayı yapılandırma beyaz listesi El ile, Devre Dışı 1.1.0
Uç nokta güvenlik çözümü için algılayıcıları açma CMA_0514 - Uç nokta güvenlik çözümü için algılayıcıları açma El ile, Devre Dışı 1.1.0
Bağımsız güvenlik incelemesine tabi tutul CMA_0515 - Bağımsız güvenlik gözden geçirmesi yapılır El ile, Devre Dışı 1.1.0

Sistem sınırlarını, sistem çalışma ortamlarını, güvenlik gereksinimlerinin nasıl uygulandığını ve diğer sistemlerle veya diğer sistemlerle bağlantıları açıklayan sistem güvenlik planlarını geliştirin, belgeleyin ve düzenli aralıklarla güncelleştirin.

Kimlik: NIST SP 800-171 R2 3.12.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sistem güvenlik planı geliştirme ve oluşturma CMA_0151 - Sistem güvenlik planı geliştirme ve oluşturma El ile, Devre Dışı 1.1.0
Bilgi güvenliği ilkeleri ve yordamları geliştirme CMA_0158 - Bilgi güvenliği ilkeleri ve yordamları geliştirme El ile, Devre Dışı 1.1.0
Ölçütleri karşılayan SSP geliştirme CMA_C1492 - Ölçütleri karşılayan SSP geliştirme El ile, Devre Dışı 1.1.0
Gizlilik programı oluşturma CMA_0257 - Gizlilik programı oluşturma El ile, Devre Dışı 1.1.0
Bilgi güvenliği programı oluşturma CMA_0263 - Bilgi güvenliği programı oluşturma El ile, Devre Dışı 1.1.0
Bağlı cihazların üretimi için güvenlik gereksinimlerini belirleme CMA_0279 - Bağlı cihazların üretimi için güvenlik gereksinimleri oluşturma El ile, Devre Dışı 1.1.0
Bilgi sistemlerinin güvenlik mühendisliği ilkelerini uygulama CMA_0325 - Bilgi sistemlerinin güvenlik mühendisliği ilkelerini uygulama El ile, Devre Dışı 1.1.0
Güncelleştirme bilgileri güvenlik ilkeleri CMA_0518 - Güncelleştirme bilgileri güvenlik ilkeleri El ile, Devre Dışı 1.1.0

Sistem ve İletişim Koruması

Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma.

Kimlik: NIST SP 800-171 R2 3.13.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 3.1.0-önizleme
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Reddetme, Devre Dışı 1.0.2
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.1
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. Denetim, Reddetme, Devre Dışı 3.2.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.1.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security Denetim, Reddetme, Devre Dışı 3.2.1
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Kuruluş sistemlerinde kullanılan şifreleme için şifreleme anahtarları oluşturma ve yönetme.

Kimlik: NIST SP 800-171 R2 3.13.10 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/AB-CmkEncryption adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
[Önizleme]: IoT Hub cihaz sağlama hizmeti verileri müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmelidir IoT Hub cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Bekleyen veriler hizmet tarafından yönetilen anahtarlarla otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/dps/CMK. . Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
Azure AI Services kaynakları bekleyen verileri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelemelidir Bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarların kullanılması, döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü üzerinde daha fazla denetim sağlar. Bu özellikle ilgili uyumluluk gereksinimlerine sahip kuruluşlar için geçerlidir. Bu, varsayılan olarak değerlendirilmez ve yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimlerinin gerektirdiği durumlarda uygulanmalıdır. Etkinleştirilmemişse, veriler platform tarafından yönetilen anahtarlar kullanılarak şifrelenir. Bunu uygulamak için, geçerli kapsam için Güvenlik İlkesi'ndeki 'Efekt' parametresini güncelleştirin. Denetim, Reddetme, Devre Dışı 2.2.0
FHIR için Azure API bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır Bu bir mevzuat veya uyumluluk gereksinimi olduğunda FHIR için Azure API'de depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla yapılan varsayılanın üzerine ikinci bir şifreleme katmanı ekleyerek de çift şifreleme sağlar. denetim, Denetim, devre dışı, Devre dışı 1.1.0
Azure Otomasyonu hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Otomasyonu Hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/automation-cmk adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Batch hesabı verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/Batch-CMK adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. Denetim, Devre Dışı, Reddet 1.0.0
Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Data Box işleri, cihaz kilidini açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Data Box için cihaz kilidi açma parolasının şifrelenmesini denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmeti tarafından cihaz kilidi açma parolasına erişimin yönetilmesine de yardımcı olur. Cihazın kendisinde bulunan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten şifrelenir ve cihaz kilidi açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Bekleyen Azure Veri Gezgini şifrelemesi müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Veri Gezgini kümenizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimleri olan müşteriler için geçerlidir ve anahtarları yönetmek için bir Key Vault gerektirir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Azure Data Factory'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/adf-cmk adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure HDInsight kümeleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure HDInsight kümelerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/hdi.cmk adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure HDInsight kümeleri bekleyen verileri şifrelemek için konakta şifreleme kullanmalıdır Konakta şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve Depolama hizmetine akışlar şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/azureml-workspaces-cmk adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.1.0
Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Stream Analytics işleri verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Stream Analytics işlerinizin meta verilerini ve özel veri varlıklarını depolama hesabınızda güvenli bir şekilde depolamak istediğinizde müşteri tarafından yönetilen anahtarları kullanın. Bu, Stream Analytics verilerinizin şifrelenme şekli üzerinde tam denetim sağlar. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. Denetim, Reddetme, Devre Dışı 1.0.0
Bot Hizmeti müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Azure Bot Hizmeti, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini karşılamak için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Azure Bot Hizmeti şifrelemesi hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. Denetim, Reddetme, Devre Dışı 1.0.1
Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.1.2
Fiziksel anahtar yönetimi işlemi tanımlama CMA_0115 - Fiziksel anahtar yönetimi işlemi tanımlama El ile, Devre Dışı 1.1.0
Şifreleme kullanımını tanımlama CMA_0120 - Şifreleme kullanımını tanımlama El ile, Devre Dışı 1.1.0
Şifreleme anahtarı yönetimi için kuruluş gereksinimlerini tanımlama CMA_0123 - Şifreleme anahtarı yönetimi için kuruluş gereksinimlerini tanımlama El ile, Devre Dışı 1.1.0
Onay gereksinimlerini belirleme CMA_0136 - Onay gereksinimlerini belirleme El ile, Devre Dışı 1.1.0
Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Event Hubs, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak tanır. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. Denetim, Devre Dışı, Reddet 2.0.0
Ortak anahtar sertifikaları verme CMA_0347 - Ortak anahtar sertifikaları verme El ile, Devre Dışı 1.1.0
Logic Apps Tümleştirme Hizmeti Ortamı, müşteri tarafından yönetilen anahtarlarla şifrelenmelidir Müşteri tarafından yönetilen anahtarları kullanarak Logic Apps verilerinin geri kalanında şifrelemeyi yönetmek için Tümleştirme Hizmeti Ortamı'na dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. Denetim, Reddetme, Devre Dışı 1.0.0
Simetrik şifreleme anahtarlarını yönetme CMA_0367 - Simetrik şifreleme anahtarlarını yönetme El ile, Devre Dışı 1.1.0
Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla çift şifrelenmelidir Belirli bir şifreleme algoritması, uygulama veya anahtarın tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler, platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Çift şifreleme kullanmak için disk şifreleme kümeleri gereklidir. https://aka.ms/disks-doubleEncryption adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0
MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. AuditIfNotExists, Devre Dışı 1.0.4
İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Yönetilen disklerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen platform tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 3.0.0
PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. AuditIfNotExists, Devre Dışı 1.0.4
Özel anahtarlara erişimi kısıtlama CMA_0445 - Özel anahtarlara erişimi kısıtlama El ile, Devre Dışı 1.1.0
Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Service Bus, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Service Bus'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanızı, döndürmenizi, devre dışı bırakmanızı ve iptal etmenizi sağlar. Service Bus'ın yalnızca premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.0
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesabı şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . Denetim, Reddetme, Devre Dışı 1.0.0
Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. Denetim, Devre Dışı 1.0.3

CUI'nin gizliliğini korumak için kullanıldığında FIPS ile doğrulanmış şifreleme kullanın.

Kimlik: NIST SP 800-171 R2 3.13.11 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Şifreleme kullanımını tanımlama CMA_0120 - Şifreleme kullanımını tanımlama El ile, Devre Dışı 1.1.0

İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama ve cihazda bulunan kullanıcılara kullanımda olan cihazların göstergesini sağlama

Kimlik: NIST SP 800-171 R2 3.13.12 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
İşbirliğine dayalı bilgi işlem cihazlarının kullanımını açıkça bildirme CMA_C1649 - İşbirliğine dayalı bilgi işlem cihazlarının kullanımını açıkça bildirme El ile, Devre Dışı 1.1.1
İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama CMA_C1648 - İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama El ile, Devre Dışı 1.1.0

Mobil kodun kullanımını denetleme ve izleme.

Kimlik: NIST SP 800-171 R2 3.13.13 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Mobil kod teknolojilerinin kullanımını yetkilendirme, izleme ve denetleme CMA_C1653 - Mobil kod teknolojilerinin kullanımını yetkilendirme, izleme ve denetleme El ile, Devre Dışı 1.1.0
Kabul edilebilir ve kabul edilemez mobil kod teknolojilerini tanımlama CMA_C1651 - Kabul edilebilir ve kabul edilemez mobil kod teknolojilerini tanımlama El ile, Devre Dışı 1.1.0
Mobil kod teknolojileri için kullanım kısıtlamaları oluşturma CMA_C1652 - Mobil kod teknolojileri için kullanım kısıtlamaları oluşturma El ile, Devre Dışı 1.1.0

İnternet Üzerinden Ses Protokolü (VoIP) teknolojilerinin kullanımını denetleme ve izleme.

Kimlik: NIST SP 800-171 R2 3.13.14 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Voip'i yetkilendirme, izleme ve denetleme CMA_0025 - Voip'i yetkilendirme, izleme ve denetleme El ile, Devre Dışı 1.1.0
Voip kullanım kısıtlamaları oluşturma CMA_0280 - Voip kullanım kısıtlamaları oluşturma El ile, Devre Dışı 1.1.0

İletişim oturumlarının orijinalliğini koruyun.

Kimlik: NIST SP 800-171 R2 3.13.15 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma CMA_0073 - dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma El ile, Devre Dışı 1.1.0
Rastgele benzersiz oturum tanımlayıcılarını zorunlu kılma CMA_0247 - Rastgele benzersiz oturum tanımlayıcılarını zorunlu kılma El ile, Devre Dışı 1.1.0

Bekleyen CUI'nin gizliliğini koruyun.

Kimlik: NIST SP 800-171 R2 3.13.16 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service Ortamı iç şifreleme etkinleştirilmelidir InternalEncryption değeri true olarak ayarlandığında ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği şifrelenir. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . Denetim, Devre Dışı 1.0.1
Otomasyon hesabı değişkenleri şifrelenmelidir Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir Denetim, Reddetme, Devre Dışı 1.1.0
Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. Denetim, Reddetme, Devre Dışı 1.0.0
Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır Güvenli veri şifrelemesinin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için Azure İzleyici ayrılmış kümesini kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Stack Edge cihazları çift şifreleme kullanmalıdır Cihazın bekleyen verilerinin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 1.1.0
Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 2.0.0
Veri sızıntısı yönetim yordamı oluşturma CMA_0255 - Veri sızıntısı yönetim yordamı oluşturma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirerek verilerin güvenli olduğundan daha yüksek düzeyde emin olun. Altyapı şifrelemesi etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir verilerin güvenli olduğundan daha yüksek düzeyde güvenceye sahip olmak için PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirin. Altyapı şifreleme etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir Denetim, Reddetme, Devre Dışı 1.0.0
Şifreleme kullanarak aktarımdaki verileri koruma CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma El ile, Devre Dışı 1.1.0
Özel bilgileri koruma CMA_0409 - Özel bilgileri koruma El ile, Devre Dışı 1.1.0
Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesaplarında altyapı şifrelemesi olmalıdır Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. Denetim, Reddetme, Devre Dışı 1.0.1
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0
Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0

Kurumsal sistemler içinde etkili bilgi güvenliğini teşvik eden mimari tasarımlar, yazılım geliştirme teknikleri ve sistem mühendisliği ilkelerini kullanın.

Kimlik: NIST SP 800-171 R2 3.13.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 3.1.0-önizleme
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Reddetme, Devre Dışı 1.0.2
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.1
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. Denetim, Reddetme, Devre Dışı 3.2.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.1.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security Denetim, Reddetme, Devre Dışı 3.2.1
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Kullanıcı işlevselliğini sistem yönetimi işlevselliğinden ayırın.

Kimlik: NIST SP 800-171 R2 3.13.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Uzaktan erişimi yetkilendirme CMA_0024 - Uzaktan erişimi yetkilendirme El ile, Devre Dışı 1.1.0
Kullanıcı ve bilgi sistemi yönetimi işlevselliğini ayırma CMA_0493 - Kullanıcı ve bilgi sistemi yönetimi işlevselliğini ayırma El ile, Devre Dışı 1.1.0
Yönetim görevleri için ayrılmış makineleri kullanma CMA_0527 - Yönetim görevleri için ayrılmış makineleri kullanma El ile, Devre Dışı 1.1.0

İç ağlardan fiziksel veya mantıksal olarak ayrılmış, genel olarak erişilebilir sistem bileşenleri için alt ağlar uygulayın.

Kimlik: NIST SP 800-171 R2 3.13.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.1 kullanım dışı
[Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 3.0.1 kullanım dışı
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 3.1.0-önizleme
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Reddetme, Devre Dışı 1.0.2
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.1
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. Denetim, Reddetme, Devre Dışı 3.2.0
FHIR için Azure API özel bağlantı kullanmalıdır FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. Denetim, Devre Dışı 1.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.1.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konuları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security Denetim, Reddetme, Devre Dışı 3.2.1
Azure Key Vault'lar özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink [parameters('audit_effect')] 1.2.1
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Devre Dışı 1.0.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Devre Dışı 1.0.0
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink Denetim, Devre Dışı 1.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Denetim, Devre Dışı 1.1.0
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. AuditIfNotExists, Devre Dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet Denetim, Devre Dışı, Reddet 1.1.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver).

Kimlik: NIST SP 800-171 R2 3.13.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 3.1.0-önizleme
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. AuditIfNotExists, Devre Dışı 3.0.0
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.1
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. Denetim, Reddetme, Devre Dışı 3.2.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.1.0
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security Denetim, Reddetme, Devre Dışı 3.2.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 2.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.0
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Uzak cihazların aynı anda kuruluş sistemleriyle uzak olmayan bağlantılar kurmasını ve dış ağlardaki kaynaklara (bölünmüş tünel gibi) başka bir bağlantı üzerinden iletişim kurmasını önleyin.

Kimlik: NIST SP 800-171 R2 3.13.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Uzak cihazlar için bölünmüş tüneli önleme CMA_C1632 - Uzak cihazlar için bölünmüş tünel oluşturma işlemini engelleme El ile, Devre Dışı 1.1.0

CuI'nin iletim sırasında yetkisiz olarak açığa çıkmasını önlemek için alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece şifreleme mekanizmaları uygulayın.

Kimlik: NIST SP 800-171 R2 3.13.8 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı, Reddet 4.0.0
App Service uygulamaları yalnızca FTPS gerektirmelidir Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. AuditIfNotExists, Devre Dışı 3.0.0
App Service uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.0.1
Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarımda şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. Denetim, Reddetme, Devre Dışı 1.0.0
dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma CMA_0073 - dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma El ile, Devre Dışı 1.1.0
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1
İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı, Reddet 5.0.0
İşlev uygulamaları yalnızca FTPS gerektirmelidir Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.0.1
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 8.2.0
Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 1.0.0
Şifreleme kullanarak aktarımdaki verileri koruma CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma El ile, Devre Dışı 1.1.0
Şifreleme ile parolaları koruma CMA_0408 - Şifreleme ile parolaları koruma El ile, Devre Dışı 1.1.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 2.0.0
Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. AuditIfNotExists, Devre Dışı 4.1.1

Oturumların sonunda veya tanımlı bir etkinlik dışı kalma süresinden sonra iletişim oturumlarıyla ilişkili ağ bağlantılarını sonlandırın.

Kimlik: NIST SP 800-171 R2 3.13.9 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kullanıcı oturumlarını yeniden kimlik doğrulama veya sonlandırma CMA_0421 - Kullanıcı oturumlarını yeniden doğrulama veya sonlandırma El ile, Devre Dışı 1.1.0

Sistem ve Bilgi Bütünlüğü

Sistem kusurlarını zamanında belirleyin, raporlayın ve düzeltin.

Kimlik: NIST SP 800-171 R2 3.14.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. AuditIfNotExists, Devre Dışı 3.0.0
App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0
Kusur düzeltmeyi yapılandırma yönetimine dahil etme CMA_C1671 - Kusur düzeltmeyi yapılandırma yönetimine dahil etme El ile, Devre Dışı 1.1.0
Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi Denetim, Devre Dışı 1.0.2
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik açığı taramaları gerçekleştirme CMA_0393 - Güvenlik açığı taramaları gerçekleştirme El ile, Devre Dışı 1.1.0
Bilgi sistemi kusurlarını düzeltme CMA_0427 - Bilgi sistemi kusurlarını düzeltme El ile, Devre Dışı 1.1.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.1.0
Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. AuditIfNotExists, Devre Dışı 3.0.0
Sistem güncelleştirmeleri makinelerinize yüklenmelidir Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 4.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0
Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemleri içinde belirlenen konumlarda kötü amaçlı kodlara karşı koruma sağlayın.

Kimlik: NIST SP 800-171 R2 3.14.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme El ile, Devre Dışı 1.1.0
Ağ geçitlerini yönetme CMA_0363 - Ağ geçitlerini yönetme El ile, Devre Dışı 1.1.0
Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. AuditIfNotExists, Devre Dışı 1.1.0
Tehditler üzerinde eğilim analizi gerçekleştirme CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme El ile, Devre Dışı 1.1.0
Güvenlik açığı taramaları gerçekleştirme CMA_0393 - Güvenlik açığı taramaları gerçekleştirme El ile, Devre Dışı 1.1.0
Kötü amaçlı yazılım algılamaları raporunu haftalık gözden geçirme CMA_0475 - Kötü amaçlı yazılım algılamaları raporunu haftalık olarak gözden geçirme El ile, Devre Dışı 1.1.0
Tehdit koruması durumunu haftalık olarak gözden geçirin CMA_0479 - Tehdit koruması durumunu haftalık olarak gözden geçirin El ile, Devre Dışı 1.1.0
Virüsten koruma tanımlarını güncelleştirme CMA_0517 - Virüsten koruma tanımlarını güncelleştirme El ile, Devre Dışı 1.1.0
Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). AuditIfNotExists, Devre Dışı 2.0.0

Sistem güvenlik uyarılarını ve önerilerini izleyin ve yanıt olarak eyleme geçin.

Kimlik: NIST SP 800-171 R2 3.14.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Güvenlik uyarılarını personele dağıtma CMA_C1705 - Güvenlik uyarılarını personele dağıtma El ile, Devre Dışı 1.1.0
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.2.0
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.1.0
Tehdit analizi programı oluşturma CMA_0260 - Tehdit bilgileri programı oluşturma El ile, Devre Dışı 1.1.0
Güvenlik yönergelerini uygulama CMA_C1706 - Güvenlik yönergeleri uygulama El ile, Devre Dışı 1.1.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Yeni sürümler kullanılabilir olduğunda kötü amaçlı kod koruma mekanizmalarını güncelleştirin.

Kimlik: NIST SP 800-171 R2 3.14.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme El ile, Devre Dışı 1.1.0
Ağ geçitlerini yönetme CMA_0363 - Ağ geçitlerini yönetme El ile, Devre Dışı 1.1.0
Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.0
Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. AuditIfNotExists, Devre Dışı 1.1.0
Tehditler üzerinde eğilim analizi gerçekleştirme CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme El ile, Devre Dışı 1.1.0
Güvenlik açığı taramaları gerçekleştirme CMA_0393 - Güvenlik açığı taramaları gerçekleştirme El ile, Devre Dışı 1.1.0
Kötü amaçlı yazılım algılamaları raporunu haftalık gözden geçirme CMA_0475 - Kötü amaçlı yazılım algılamaları raporunu haftalık olarak gözden geçirme El ile, Devre Dışı 1.1.0
Virüsten koruma tanımlarını güncelleştirme CMA_0517 - Virüsten koruma tanımlarını güncelleştirme El ile, Devre Dışı 1.1.0
Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). AuditIfNotExists, Devre Dışı 2.0.0

Dosyalar indirilir, açılır veya yürütülürken kuruluş sistemlerinde düzenli aralıklarla taramalar ve dış kaynaklardan dosyalarda gerçek zamanlı taramalar gerçekleştirin.

Kimlik: NIST SP 800-171 R2 3.14.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.0
Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. AuditIfNotExists, Devre Dışı 1.1.0
Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). AuditIfNotExists, Devre Dışı 2.0.0

Saldırıları ve olası saldırıların göstergelerini algılamak için gelen ve giden iletişim trafiği dahil olmak üzere kuruluş sistemlerini izleyin.

Kimlik: NIST SP 800-171 R2 3.14.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. AuditIfNotExists, Devre Dışı 6.0.0-önizleme
[Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Yetkilendirilmemiş veya onaylanmamış ağ hizmetlerini algılama CMA_C1700 - Yetkilendirilmemiş veya onaylanmamış ağ hizmetlerini algılama El ile, Devre Dışı 1.1.0
Güvenliğin aşılmasına ilişkin göstergeleri keşfedin CMA_C1702 - Tehlikeye ilişkin göstergeleri keşfedin El ile, Devre Dışı 1.1.0
Belge güvenlik işlemleri CMA_0202 - Belge güvenlik işlemleri El ile, Devre Dışı 1.1.0
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.2.0
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.1.0
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Tehditler üzerinde eğilim analizi gerçekleştirme CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme El ile, Devre Dışı 1.1.0
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1
Uç nokta güvenlik çözümü için algılayıcıları açma CMA_0514 - Uç nokta güvenlik çözümü için algılayıcıları açma El ile, Devre Dışı 1.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: NIST SP 800-171 R2 3.14.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. AuditIfNotExists, Devre Dışı 6.0.0-önizleme
[Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Tehditler üzerinde eğilim analizi gerçekleştirme CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme El ile, Devre Dışı 1.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Farkındalık ve Eğitim

Kimlik: NIST SP 800-171 R2 3.2.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Düzenli güvenlik farkındalığı eğitimi sağlama CMA_C1091 - Düzenli güvenlik farkındalığı eğitimi sağlama El ile, Devre Dışı 1.1.0
Yeni kullanıcılar için güvenlik eğitimi sağlama CMA_0419 - Yeni kullanıcılar için güvenlik eğitimi sağlama El ile, Devre Dışı 1.1.0

Kimlik: NIST SP 800-171 R2 3.2.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Düzenli rol tabanlı güvenlik eğitimi sağlama CMA_C1095 - Düzenli rol tabanlı güvenlik eğitimi sağlama El ile, Devre Dışı 1.1.0
Erişim sağlamadan önce güvenlik eğitimi sağlama CMA_0418 - Erişim sağlamadan önce güvenlik eğitimi sağlama El ile, Devre Dışı 1.1.0

İçerideki tehdidin olası göstergelerini tanıma ve raporlama konusunda güvenlik farkındalığı eğitimi sağlayın.

Kimlik: NIST SP 800-171 R2 3.2.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Insider tehdit programı uygulama CMA_C1751 - Insider tehdit programı uygulama El ile, Devre Dışı 1.1.0
İç tehditler için güvenlik farkındalığı eğitimi sağlama CMA_0417 - İç tehditler için güvenlik farkındalığı eğitimi sağlama El ile, Devre Dışı 1.1.0

Denetim ve Sorumluluk

Sistem denetim günlüklerini ve kayıtlarını, yasa dışı veya yetkisiz sistem etkinliğinin izlenmesini, analizini, araştırmasını ve raporlamasını sağlamak için gereken ölçüde oluşturun ve koruyun

Kimlik: NIST SP 800-171 R2 3.3.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. AuditIfNotExists, Devre Dışı 6.0.0-önizleme
[Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
Tanımlanan saklama sürelerine uyma CMA_0004 - Tanımlanan saklama sürelerine bağlı kalma El ile, Devre Dışı 1.1.0
App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. AuditIfNotExists, Devre Dışı 2.0.1
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Azure Denetim özelliklerini yapılandırma CMA_C1108 - Azure Denetim özelliklerini yapılandırma El ile, Devre Dışı 1.1.1
Denetim kayıtlarını ilişkilendirme CMA_0087 - Denetim kayıtlarını ilişkilendirme El ile, Devre Dışı 1.1.0
Denetlenebilir olayları belirleme CMA_0137 - Denetlenebilir olayları belirleme El ile, Devre Dışı 1.1.0
Denetim gözden geçirme ve raporlama gereksinimleri oluşturma CMA_0277 - Denetim gözden geçirme ve raporlama gereksinimleri oluşturma El ile, Devre Dışı 1.1.0
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. AuditIfNotExists, Devre Dışı 1.0.3
Denetim gözden geçirme, analiz ve raporlamayı tümleştirme CMA_0339 - Denetim gözden geçirme, analiz ve raporlamayı tümleştirme El ile, Devre Dışı 1.1.0
Bulut uygulaması güvenliğini bir siem ile tümleştirme CMA_0340 - Bulut uygulaması güvenliğini bir siem ile tümleştirme El ile, Devre Dışı 1.1.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
IoT Hub'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 3.1.0
Key Vault'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.1.0
Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Güvenlik ilkelerini ve yordamlarını koruma CMA_0454 - Güvenlik ilkelerini ve yordamlarını koruma El ile, Devre Dışı 1.1.0
Sonlandırılan kullanıcı verilerini saklama CMA_0455 - Sonlandırılan kullanıcı verilerini saklama El ile, Devre Dışı 1.1.0
Hesap sağlama günlüklerini gözden geçirme CMA_0460 - Hesap sağlama günlüklerini gözden geçirme El ile, Devre Dışı 1.1.0
Yönetici atamalarını haftalık olarak gözden geçirme CMA_0461 - Yönetici atamalarını haftalık olarak gözden geçirme El ile, Devre Dışı 1.1.0
Denetim verilerini gözden geçirme CMA_0466 - Denetim verilerini gözden geçirme El ile, Devre Dışı 1.1.0
Bulut kimliği raporuna genel bakış gözden geçirme CMA_0468 - Bulut kimliği raporuna genel bakış gözden geçirme El ile, Devre Dışı 1.1.0
Denetimli klasör erişim olaylarını gözden geçirme CMA_0471 - Denetimli klasör erişim olaylarını gözden geçirme El ile, Devre Dışı 1.1.0
Dosya ve klasör etkinliğini gözden geçirme CMA_0473 - Dosya ve klasör etkinliğini gözden geçirme El ile, Devre Dışı 1.1.0
Rol grubu değişikliklerini haftalık olarak gözden geçirme CMA_0476 - Rol grubu değişikliklerini haftalık olarak gözden geçirme El ile, Devre Dışı 1.1.0
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0
Log Analytics uzantısı Sanal Makine Ölçek Kümeleri Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. AuditIfNotExists, Devre Dışı 1.0.1
Sanal makineler belirtilen çalışma alanına bağlanmalıdır İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydedilmiyorsa sanal makineleri uyumsuz olarak raporlar. AuditIfNotExists, Devre Dışı 1.1.0
Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Tek tek sistem kullanıcılarının eylemlerinin bu kullanıcılara benzersiz bir şekilde izlenebildiğinden emin olun, böylece eylemlerinden sorumlu tutulabilir.

Kimlik: NIST SP 800-171 R2 3.3.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. AuditIfNotExists, Devre Dışı 6.0.0-önizleme
[Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. AuditIfNotExists, Devre Dışı 2.0.1
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Denetlenebilir olayları belirleme CMA_0137 - Denetlenebilir olayları belirleme El ile, Devre Dışı 1.1.0
Elektronik imza ve sertifika gereksinimlerini belirleme CMA_0271 - Elektronik imza ve sertifika gereksinimleri oluşturma El ile, Devre Dışı 1.1.0
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
IoT Hub'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 3.1.0
Key Vault'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.1.0
Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0
Log Analytics uzantısı Sanal Makine Ölçek Kümeleri Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. AuditIfNotExists, Devre Dışı 1.0.1
Sanal makineler belirtilen çalışma alanına bağlanmalıdır İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydedilmiyorsa sanal makineleri uyumsuz olarak raporlar. AuditIfNotExists, Devre Dışı 1.1.0
Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. AuditIfNotExists, Devre Dışı 1.0.1
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Günlüğe kaydedilen olayları gözden geçirin ve güncelleştirin.

Kimlik: NIST SP 800-171 R2 3.3.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
AU-02'de tanımlanan olayları gözden geçirme ve güncelleştirme CMA_C1106 - AU-02'de tanımlanan olayları gözden geçirme ve güncelleştirme El ile, Devre Dışı 1.1.0

Denetim günlüğü işlemi hatası durumunda uyarı verin.

Kimlik: NIST SP 800-171 R2 3.3.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Denetim işleme etkinliklerini yönetme ve izleme CMA_0289 - Denetim işleme etkinliklerini yönetme ve izleme El ile, Devre Dışı 1.1.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Denetim olayı hataları için gerçek zamanlı uyarılar sağlama CMA_C1114 - Denetim olayı hataları için gerçek zamanlı uyarılar sağlama El ile, Devre Dışı 1.1.0

Yasal olmayan, yetkisiz, şüpheli veya olağan dışı etkinlik göstergelerini araştırmak ve yanıtlamak için denetim kaydı gözden geçirme, analiz ve raporlama süreçlerini ilişkilendirin.

Kimlik: NIST SP 800-171 R2 3.3.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. AuditIfNotExists, Devre Dışı 1.0.3
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Key Vault için Azure Defender etkinleştirilmelidir Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Denetim kayıtlarını ilişkilendirme CMA_0087 - Denetim kayıtlarını ilişkilendirme El ile, Devre Dışı 1.1.0
Denetim kaydı analizini tümleştirme CMA_C1120 - Denetim kaydı analizini tümleştirme El ile, Devre Dışı 1.1.0
Bulut uygulaması güvenliğini bir siem ile tümleştirme CMA_0340 - Bulut uygulaması güvenliğini bir siem ile tümleştirme El ile, Devre Dışı 1.1.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Depolama için Microsoft Defender etkinleştirilmelidir Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. AuditIfNotExists, Devre Dışı 1.0.0

İsteğe bağlı analiz ve raporlamayı desteklemek için denetim kaydı azaltma ve rapor oluşturma sağlayın.

Kimlik: NIST SP 800-171 R2 3.3.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Ayrıcalıklı işlevleri denetleme CMA_0019 - Ayrıcalıklı işlevleri denetleme El ile, Devre Dışı 1.1.0
Kullanıcı hesabı durumunu denetleme CMA_0020 - Kullanıcı hesabı durumunu denetleme El ile, Devre Dışı 1.1.0
Denetim kayıtlarını sistem genelinde denetime derleme CMA_C1140 - Denetim kayıtlarını sistem genelinde denetimde derleme El ile, Devre Dışı 1.1.0
Denetlenebilir olayları belirleme CMA_0137 - Denetlenebilir olayları belirleme El ile, Devre Dışı 1.1.0
Denetim gözden geçirme, analiz ve raporlama özelliği sağlama CMA_C1124 - Denetim gözden geçirme, analiz ve raporlama özelliği sağlama El ile, Devre Dışı 1.1.0
Müşteri tarafından denetlenen denetim kayıtlarını işleme özelliği sağlama CMA_C1126 - Müşteri tarafından denetlenen denetim kayıtlarını işleme özelliği sağlama El ile, Devre Dışı 1.1.0
Denetim verilerini gözden geçirme CMA_0466 - Denetim verilerini gözden geçirme El ile, Devre Dışı 1.1.0

Denetim kayıtları için zaman damgaları oluşturmak üzere iç sistem saatlerini yetkili bir kaynakla karşılaştıran ve eşitleyen bir sistem özelliği sağlama

Kimlik: NIST SP 800-171 R2 3.3.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Denetim kayıtları için sistem saatlerini kullanma CMA_0535 - Denetim kayıtları için sistem saatlerini kullanma El ile, Devre Dışı 1.1.0

Denetim bilgilerini ve denetim günlüğü araçlarını yetkisiz erişim, değişiklik ve silmeye karşı koruyun.

Kimlik: NIST SP 800-171 R2 3.3.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
çift veya ortak yetkilendirmeyi etkinleştirme CMA_0226 - çift veya ortak yetkilendirmeyi etkinleştirme El ile, Devre Dışı 1.1.0
Yedekleme ilkeleri ve yordamları oluşturma CMA_0268 - Yedekleme ilkeleri ve yordamları oluşturma El ile, Devre Dışı 1.1.0
Denetim sisteminin bütünlüğünü koruma CMA_C1133 - Denetim sisteminin bütünlüğünü koruma El ile, Devre Dışı 1.1.0
Denetim bilgilerini koruma CMA_0401 - Denetim bilgilerini koruma El ile, Devre Dışı 1.1.0

Denetim günlüğü işlevselliğinin yönetimini ayrıcalıklı kullanıcıların bir alt kümesiyle sınırlayın.

Kimlik: NIST SP 800-171 R2 3.3.9 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Denetim bilgilerini koruma CMA_0401 - Denetim bilgilerini koruma El ile, Devre Dışı 1.1.0

Yapılandırma Yönetimi

İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun.

Kimlik: NIST SP 800-171 R2 3.4.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. Denetim, Devre Dışı 3.1.0 kullanım dışı
App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 2.0.0
Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. Denetim, Devre Dışı 1.0.2
Uyumsuz cihazlar için eylemleri yapılandırma CMA_0062 - Uyumsuz cihazlar için eylemleri yapılandırma El ile, Devre Dışı 1.1.0
Veri envanteri oluşturma CMA_0096 - Veri envanteri oluşturma El ile, Devre Dışı 1.1.0
Temel yapılandırmaları geliştirme ve koruma CMA_0153 - Temel yapılandırmaları geliştirme ve koruma El ile, Devre Dışı 1.1.0
Güvenlik yapılandırma ayarlarını zorunlu kılma CMA_0249 - Güvenlik yapılandırma ayarlarını zorunlu kılma El ile, Devre Dışı 1.1.0
Yapılandırma denetim panosu oluşturma CMA_0254 - Yapılandırma denetim panosu oluşturma El ile, Devre Dışı 1.1.0
Yapılandırma yönetim planı oluşturma ve belgele CMA_0264 - Yapılandırma yönetimi planı oluşturma ve belgele El ile, Devre Dışı 1.1.0
Varlık envanteri oluşturma ve sürdürme CMA_0266 - Varlık envanteri oluşturma ve sürdürme El ile, Devre Dışı 1.1.0
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 2.0.0
Otomatik yapılandırma yönetim aracı uygulama CMA_0311 - Otomatik yapılandırma yönetim aracı uygulama El ile, Devre Dışı 1.1.0
Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.3.0
Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 5.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.3.0
Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.3.0
Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 8.2.0
Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.2.0
Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 7.2.0
Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. AuditIfNotExists, Devre Dışı 2.2.0
Kişisel verilerin işlenme kayıtlarını tutma CMA_0353 - Kişisel verilerin işlenme kayıtlarını tutma El ile, Devre Dışı 1.1.0
Temel yapılandırmaların önceki sürümlerini koruma CMA_C1181 - Temel yapılandırmaların önceki sürümlerini koruma El ile, Devre Dışı 1.1.0
Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. AuditIfNotExists, Devre Dışı 2.0.0

Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın.

Kimlik: NIST SP 800-171 R2 3.4.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. Denetim, Devre Dışı 3.1.0 kullanım dışı
App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 2.0.0
Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. Denetim, Devre Dışı 1.0.2
Güvenlik yapılandırma ayarlarını zorunlu kılma CMA_0249 - Güvenlik yapılandırma ayarlarını zorunlu kılma El ile, Devre Dışı 1.1.0
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 2.0.0
Bulut hizmeti sağlayıcılarının uyumluluğunu yönetme CMA_0290 - Bulut hizmeti sağlayıcılarının uyumluluğunu yönetme El ile, Devre Dışı 1.1.0
Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.3.0
Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 5.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.3.0
Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.3.0
Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 6.2.0
Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 8.2.0
Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 9.2.0
Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 7.2.0
Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. AuditIfNotExists, Devre Dışı 2.2.0
Bilgi sistemi kusurlarını düzeltme CMA_0427 - Bilgi sistemi kusurlarını düzeltme El ile, Devre Dışı 1.1.0
Sistem tanılama verilerini görüntüleme ve yapılandırma CMA_0544 - Sistem tanılama verilerini görüntüleme ve yapılandırma El ile, Devre Dışı 1.1.0
Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemlerinde değişiklikleri izleme, gözden geçirme, onaylama veya onaylamama ve değişiklikleri günlüğe kaydetme.

Kimlik: NIST SP 800-171 R2 3.4.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Denetimi değiştirmek için bilgi güvenliği temsilcisi atama CMA_C1198 - Denetimi değiştirmek için bilgi güvenliği temsilcisi atama El ile, Devre Dışı 1.1.0
Önerilen değişiklikler için onay isteğini otomatikleştirme CMA_C1192 - Önerilen değişiklikler için onay isteğini otomatikleştirme El ile, Devre Dışı 1.1.0
Onaylanan değişiklik bildirimlerinin uygulanmasını otomatikleştirme CMA_C1196 - Onaylanan değişiklik bildirimlerinin uygulanmasını otomatikleştirme El ile, Devre Dışı 1.1.0
Uygulanan değişiklikleri belgele işlemi otomatikleştirme CMA_C1195 - Uygulanan değişiklikleri belgele işlemi otomatikleştirme El ile, Devre Dışı 1.1.0
Gözden kullanılmayan değişiklik tekliflerini vurgulamak için süreci otomatikleştirme CMA_C1193 - Gözden kullanılmayan değişiklik tekliflerini vurgulamak için süreci otomatikleştirme El ile, Devre Dışı 1.1.0
Onaylanmamış değişikliklerin uygulanmasını yasaklama işlemini otomatikleştirme CMA_C1194 - Onaylanmamış değişikliklerin uygulanmasını yasaklama işlemini otomatikleştirme El ile, Devre Dışı 1.1.0
Önerilen belgelenmiş değişiklikleri otomatikleştirme CMA_C1191 - Önerilen belgelenmiş değişiklikleri otomatikleştirme El ile, Devre Dışı 1.1.0
Güvenlik etki analizi gerçekleştirme CMA_0057 - Güvenlik etkisi analizi gerçekleştirme El ile, Devre Dışı 1.1.0
güvenlik açığı yönetimi standardı geliştirme ve sürdürme CMA_0152 - güvenlik açığı yönetimi standardı geliştirme ve sürdürme El ile, Devre Dışı 1.1.0
Risk yönetimi stratejisi oluşturma CMA_0258 - Risk yönetimi stratejisi oluşturma El ile, Devre Dışı 1.1.0
Değişiklik denetimi işlemlerini oluşturma ve belgele CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele El ile, Devre Dışı 1.1.0
Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma CMA_0270 - Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma El ile, Devre Dışı 1.1.0
Gizlilik etkisi değerlendirmesi gerçekleştirme CMA_0387 - Gizlilik etkisi değerlendirmesi gerçekleştirme El ile, Devre Dışı 1.1.0
Risk değerlendirmesi gerçekleştirme CMA_0388 - Risk değerlendirmesi gerçekleştirme El ile, Devre Dışı 1.1.0
Yapılandırma değişikliği denetimi için denetim gerçekleştirme CMA_0390 - Yapılandırma değişikliği denetimi için denetim gerçekleştirme El ile, Devre Dışı 1.1.0

Uygulamadan önce değişikliklerin güvenlik etkisini analiz edin.

Kimlik: NIST SP 800-171 R2 3.4.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Güvenlik etki analizi gerçekleştirme CMA_0057 - Güvenlik etkisi analizi gerçekleştirme El ile, Devre Dışı 1.1.0
güvenlik açığı yönetimi standardı geliştirme ve sürdürme CMA_0152 - güvenlik açığı yönetimi standardı geliştirme ve sürdürme El ile, Devre Dışı 1.1.0
Risk yönetimi stratejisi oluşturma CMA_0258 - Risk yönetimi stratejisi oluşturma El ile, Devre Dışı 1.1.0
Değişiklik denetimi işlemlerini oluşturma ve belgele CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele El ile, Devre Dışı 1.1.0
Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma CMA_0270 - Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma El ile, Devre Dışı 1.1.0
Gizlilik etkisi değerlendirmesi gerçekleştirme CMA_0387 - Gizlilik etkisi değerlendirmesi gerçekleştirme El ile, Devre Dışı 1.1.0
Risk değerlendirmesi gerçekleştirme CMA_0388 - Risk değerlendirmesi gerçekleştirme El ile, Devre Dışı 1.1.0
Yapılandırma değişikliği denetimi için denetim gerçekleştirme CMA_0390 - Yapılandırma değişikliği denetimi için denetim gerçekleştirme El ile, Devre Dışı 1.1.0

Kuruluş sistemlerinde yapılan değişikliklerle ilişkili fiziksel ve mantıksal erişim kısıtlamalarını tanımlayın, belgeleyin, onaylayın ve uygulayın.

Kimlik: NIST SP 800-171 R2 3.4.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Erişim kısıtlamalarını zorunlu kılma ve denetleme CMA_C1203 - Erişim kısıtlamalarını zorunlu kılma ve denetleme El ile, Devre Dışı 1.1.0
Değişiklik denetimi işlemlerini oluşturma ve belgele CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele El ile, Devre Dışı 1.1.0
Üretim ortamında değişiklik yapmak için ayrıcalıkları sınırlama CMA_C1206 - Üretim ortamında değişiklik yapmak için ayrıcalıkları sınırlayın El ile, Devre Dışı 1.1.0
Yetkisiz yazılım ve üretici yazılımı yüklemesini kısıtlama CMA_C1205 - Yetkisiz yazılım ve üretici yazılımı yüklemesini kısıtlama El ile, Devre Dışı 1.1.0
Ayrıcalıkları gözden geçirme ve yeniden değerlendirme CMA_C1207 - Ayrıcalıkları gözden geçirme ve yeniden değerlendirme El ile, Devre Dışı 1.1.0
Yetkisiz değişiklikler için değişiklikleri gözden geçirme CMA_C1204 - Yetkisiz değişiklikler için değişiklikleri gözden geçirme El ile, Devre Dışı 1.1.0

Kuruluş sistemlerini yalnızca temel özellikler sağlayacak şekilde yapılandırarak en az işlevsellik ilkesini kullanın.

Kimlik: NIST SP 800-171 R2 3.4.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3

Tanımlama ve Kimlik Doğrulaması

Sistem kullanıcılarını, kullanıcılar adına hareket eden işlemleri ve cihazları tanımlayın.

Kimlik: NIST SP 800-171 R2 3.5.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Sistem tanımlayıcıları atama CMA_0018 - Sistem tanımlayıcıları atama El ile, Devre Dışı 1.1.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
Kullanıcı benzersizliğini zorunlu kılma CMA_0250 - Kullanıcı benzersizliğini zorunlu kılma El ile, Devre Dışı 1.1.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Tek tek kimlik doğrulayıcıların kullanılmasını gerektir CMA_C1305 - Tek tek kimlik doğrulayıcıların kullanılmasını gerektir El ile, Devre Dışı 1.1.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Yasal makamlar tarafından verilen kişisel doğrulama kimlik bilgilerini destekleme CMA_0507 - Yasal makamlar tarafından verilen kişisel doğrulama kimlik bilgilerini destekleme El ile, Devre Dışı 1.1.0

Yalnızca şifreleme korumalı parolaları depolayın ve iletin.

Kimlik: NIST SP 800-171 R2 3.5.10 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil AuditIfNotExists, Devre Dışı 3.1.0
Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 2.0.0
Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 3.1.0
Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Yetkili kullanıcıların sağlanan kimlik doğrulayıcıları koruduğuna emin olun CMA_C1339 - Yetkili kullanıcıların sağlanan kimlik doğrulayıcıları koruduğuna emin olun El ile, Devre Dışı 1.1.0
Şifreleme ile parolaları koruma CMA_0408 - Şifreleme ile parolaları koruma El ile, Devre Dışı 1.1.0
Windows makineleri 'Güvenlik Seçenekleri - Ağ Güvenliği' gereksinimlerini karşılamalıdır Windows makinelerinde Yerel Sistem davranışı, PKU2U, LAN Yöneticisi, LDAP istemcisi ve NTLM SSP dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Güvenliği' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. AuditIfNotExists, Devre Dışı 3.0.0

Kimlik doğrulama bilgileriyle ilgili geri bildirimleri gizleme

Kimlik: NIST SP 800-171 R2 3.5.11 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kimlik doğrulama işlemi sırasında geri bildirim bilgilerini gizleme CMA_C1344 - Kimlik doğrulama işlemi sırasında geri bildirim bilgilerini gizle El ile, Devre Dışı 1.1.0

Kuruluş sistemlerine erişime izin vermek için önkoşul olarak kullanıcıların, işlemlerin veya cihazların kimliklerini doğrulayın (veya doğrulayın).

Kimlik: NIST SP 800-171 R2 3.5.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil AuditIfNotExists, Devre Dışı 3.1.0
Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 2.0.0
Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Devre Dışı 3.2.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı 2.2.1
Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 3.1.0
Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Kimlik doğrulayıcı türleri ve işlemleri oluşturma CMA_0267 - Kimlik doğrulayıcı türleri ve işlemleri oluşturma El ile, Devre Dışı 1.1.0
İlk kimlik doğrulayıcı dağıtımı için yordamlar oluşturma CMA_0276 - İlk kimlik doğrulayıcı dağıtımı için yordamlar oluşturma El ile, Devre Dışı 1.1.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Key Vault anahtarlarının son kullanma tarihi olmalıdır Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. Denetim, Reddetme, Devre Dışı 1.0.2
Key Vault gizli dizilerinin son kullanma tarihi olmalıdır Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. Denetim, Reddetme, Devre Dışı 1.0.2
Kimlik doğrulayıcı ömrünü yönetme ve yeniden kullanma CMA_0355 - Kimlik doğrulayıcı ömrünü yönetme ve yeniden kullanma El ile, Devre Dışı 1.1.0
Kimlik Doğrulayıcıları Yönetme CMA_C1321 - Kimlik Doğrulayıcıları Yönetme El ile, Devre Dışı 1.1.0
Kimlik doğrulayıcıları yenileme CMA_0425 - Kimlik doğrulayıcıları yenileme El ile, Devre Dışı 1.1.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Kimlik doğrulayıcıları dağıtmadan önce kimliği doğrulama CMA_0538 - Kimlik doğrulayıcıları dağıtmadan önce kimliği doğrulama El ile, Devre Dışı 1.1.0

Ayrıcalıklı hesaplara yerel ve ağ erişimi ve ayrıcalıklı olmayan hesaplara ağ erişimi için çok faktörlü kimlik doğrulamasını kullanma

Kimlik: NIST SP 800-171 R2 3.5.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Biyometrik kimlik doğrulama mekanizmalarını benimseme CMA_0005 - Biyometrik kimlik doğrulama mekanizmalarını benimseme El ile, Devre Dışı 1.1.0
Ağ cihazlarını tanımlama ve kimlik doğrulaması CMA_0296 - Ağ cihazlarını tanımlama ve kimlik doğrulaması El ile, Devre Dışı 1.1.0

Ayrıcalıklı ve ayrıcalıklı olmayan hesaplara ağ erişimi için yeniden yürütmeye dayanıklı kimlik doğrulama mekanizmaları kullanın.

Kimlik: NIST SP 800-171 R2 3.5.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Windows makineleri 'Güvenlik Seçenekleri - Ağ Güvenliği' gereksinimlerini karşılamalıdır Windows makinelerinde Yerel Sistem davranışı, PKU2U, LAN Yöneticisi, LDAP istemcisi ve NTLM SSP dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Güvenliği' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. AuditIfNotExists, Devre Dışı 3.0.0

Tanımlayıcıların tanımlı bir dönem için yeniden kullanılmasını önleyin.

Kimlik: NIST SP 800-171 R2 3.5.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Tanımlanan zaman aralığı için tanımlayıcının yeniden kullanılmasını engelleme CMA_C1314 - Tanımlanan zaman aralığı için tanımlayıcının yeniden kullanılmasını engelleme El ile, Devre Dışı 1.1.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0

Tanımlı bir etkinlik dışı kalma süresinden sonra tanımlayıcıları devre dışı bırakın.

Kimlik: NIST SP 800-171 R2 3.5.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth Denetim, Reddetme, Devre Dışı 1.1.0
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 1.0.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme Denetim, Reddetme, Devre Dışı 1.1.0

Yeni parolalar oluşturulduğunda en düşük parola karmaşıklığını ve karakter değişikliklerini zorunlu kılma.

Kimlik: NIST SP 800-171 R2 3.5.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değil AuditIfNotExists, Devre Dışı 2.0.0
En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir AuditIfNotExists, Devre Dışı 2.1.0
Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Alım sözleşmelerindeki güvenlik gücü gereksinimlerini belgeleyin CMA_0203 - Alım sözleşmelerindeki güvenlik gücü gereksinimlerini belgeleyin El ile, Devre Dışı 1.1.0
Parola ilkesi oluşturma CMA_0256 - Parola ilkesi oluşturma El ile, Devre Dışı 1.1.0
Ezberlenmiş gizli dizi doğrulayıcıları için parametreleri uygulama CMA_0321 - Ezberlenmiş gizli dizi doğrulayıcıları için parametreler uygulama El ile, Devre Dışı 1.1.0

Belirtilen sayıda nesil için parolanın yeniden kullanılmasını yasakla.

Kimlik: NIST SP 800-171 R2 3.5.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 4.1.0
Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür AuditIfNotExists, Devre Dışı 2.1.0
Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0

Olay yanıtı

Hazırlık, algılama, analiz, kapsama, kurtarma ve kullanıcı yanıt etkinliklerini içeren kuruluş sistemleri için operasyonel bir olay işleme özelliği oluşturun.

Kimlik: NIST SP 800-171 R2 3.6.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
İlgili planlarla acil durum planlarını koordine etme CMA_0086 - Acil durum planlarını ilgili planlarla koordine etme El ile, Devre Dışı 1.1.0
Kuruluşlar arası perspektif elde etmek için dış kuruluşlarla işbirliği yapma CMA_C1368 - Kuruluşlar arası perspektif elde etmek için dış kuruluşlarla işbirliği yapma El ile, Devre Dışı 1.1.0
Olay yanıt planı geliştirme CMA_0145 - Olay yanıt planı geliştirme El ile, Devre Dışı 1.1.0
Güvenlik önlemleri geliştirme CMA_0161 - Güvenlik önlemleri geliştirme El ile, Devre Dışı 1.1.0
Belge güvenlik işlemleri CMA_0202 - Belge güvenlik işlemleri El ile, Devre Dışı 1.1.0
Ağ korumasını etkinleştirme CMA_0238 - Ağ korumasını etkinleştirme El ile, Devre Dışı 1.1.0
Kirlenmiş bilgileri yok etmek CMA_0253 - Kirlenmiş bilgileri yok etmek El ile, Devre Dışı 1.1.0
Bilgi taşmalarına yanıt olarak eylemler yürütme CMA_0281 - Bilgi taşmalarına yanıt olarak eylemleri yürütme El ile, Devre Dışı 1.1.0
Olay işlemeyi uygulama CMA_0318 - Olay işleme uygulama El ile, Devre Dışı 1.1.0
Tehditler üzerinde eğilim analizi gerçekleştirme CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme El ile, Devre Dışı 1.1.0
Bilgi taşması eğitimi sağlama CMA_0413 - Bilgi taşması eğitimi sağlama El ile, Devre Dışı 1.1.0
Kısıtlanmış kullanıcıları görüntüleme ve araştırma CMA_0545 - Kısıtlı kullanıcıları görüntüleme ve araştırma El ile, Devre Dışı 1.1.0

Olayları hem kuruluş içindeki hem de dışındaki yetkili ve/veya yetkililere takip edin, belgeleyip rapor edin.

Kimlik: NIST SP 800-171 R2 3.6.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.2.0
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.1.0
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş olayı yanıt özelliğini test edin.

Kimlik: NIST SP 800-171 R2 3.6.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Olay yanıtı testi gerçekleştirme CMA_0060 - Olay yanıtı testi gerçekleştirme El ile, Devre Dışı 1.1.0
Bilgi güvenliği programı oluşturma CMA_0263 - Bilgi güvenliği programı oluşturma El ile, Devre Dışı 1.1.0
Simülasyon saldırılarını çalıştırma CMA_0486 - Simülasyon saldırılarını çalıştırma El ile, Devre Dışı 1.1.0

Bakım

Kuruluş sistemlerinde bakım gerçekleştirme. [26].

Kimlik: NIST SP 800-171 R2 3.7.1 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Bakım ve onarım etkinliklerini denetleme CMA_0080 - Bakım ve onarım etkinliklerini denetleme El ile, Devre Dışı 1.1.0

Sistem bakımını yapmak için kullanılan araçlar, teknikler, mekanizmalar ve personel üzerinde denetimler sağlar.

Kimlik: NIST SP 800-171 R2 3.7.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Bakım ve onarım etkinliklerini denetleme CMA_0080 - Bakım ve onarım etkinliklerini denetleme El ile, Devre Dışı 1.1.0
Medya temizleme mekanizması kullanma CMA_0208 - Medya temizleme mekanizması kullanma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Yerel olmayan bakım ve tanılama etkinliklerini yönetme CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme El ile, Devre Dışı 1.1.0

Herhangi bir CUI'nin yerinde bakım için ekipmanın kaldırıldığından emin olun.

Kimlik: NIST SP 800-171 R2 3.7.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Medya temizleme mekanizması kullanma CMA_0208 - Medya temizleme mekanizması kullanma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Yerel olmayan bakım ve tanılama etkinliklerini yönetme CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme El ile, Devre Dışı 1.1.0

Kuruluş sistemlerinde medya kullanılmadan önce tanılama ve test programlarını içeren medyayı kötü amaçlı kodlara karşı denetleyin.

Kimlik: NIST SP 800-171 R2 3.7.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Bakım ve onarım etkinliklerini denetleme CMA_0080 - Bakım ve onarım etkinliklerini denetleme El ile, Devre Dışı 1.1.0
Yerel olmayan bakım ve tanılama etkinliklerini yönetme CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme El ile, Devre Dışı 1.1.0

Dış ağ bağlantıları aracılığıyla konum dışı bakım oturumları oluşturmak ve konum dışı bakım tamamlandığında bu tür bağlantıları sonlandırmak için çok faktörlü kimlik doğrulaması iste.

Kimlik: NIST SP 800-171 R2 3.7.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yerel olmayan bakım ve tanılama etkinliklerini yönetme CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme El ile, Devre Dışı 1.1.0

Gerekli erişim yetkisi olmadan bakım personelinin bakım etkinliklerini denetleme.

Kimlik: NIST SP 800-171 R2 3.7.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yetkisiz bakım etkinliklerini denetlemek için personel belirleme CMA_C1422 - Personeli yetkisiz bakım etkinliklerini denetleyecek şekilde belirleme El ile, Devre Dışı 1.1.0
Yetkili uzaktan bakım personelinin listesini koruma CMA_C1420 - Yetkili uzaktan bakım personelinin listesini koruyun El ile, Devre Dışı 1.1.0
Bakım personelini yönetme CMA_C1421 - Bakım personelini yönetme El ile, Devre Dışı 1.1.0

Medya Koruması

Hem kağıt hem de dijital CUI içeren sistem medyasını koruyun (fiziksel olarak kontrol edin ve güvenli bir şekilde depolayın).

Kimlik: NIST SP 800-171 R2 3.8.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Medya temizleme mekanizması kullanma CMA_0208 - Medya temizleme mekanizması kullanma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

Sistem medyası üzerindeki CUI erişimini yetkili kullanıcılarla sınırlandırma

Kimlik: NIST SP 800-171 R2 3.8.2 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Medya temizleme mekanizması kullanma CMA_0208 - Medya temizleme mekanizması kullanma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

Yeniden kullanım için elden çıkarmadan veya serbest bırakmadan önce CUI içeren sistem medyasını temizleme veya yok etme.

Kimlik: NIST SP 800-171 R2 3.8.3 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Medya temizleme mekanizması kullanma CMA_0208 - Medya temizleme mekanizması kullanma El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

Medyayı gerekli CUI işaretleriyle ve dağıtım sınırlamalarıyla işaretleyin. [27]

Kimlik: NIST SP 800-171 R2 3.8.4 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0

CUI içeren medyaya erişimi kontrol edin ve denetimli alanların dışına taşıma sırasında medyadan sorumlu tutulun.

Kimlik: NIST SP 800-171 R2 3.8.5 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Varlıkların taşınmasını yönetme CMA_0370 - Varlıkların taşınmasını yönetme El ile, Devre Dışı 1.1.0

Alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece aktarım sırasında dijital medyada depolanan CUI'nin gizliliğini korumak için şifreleme mekanizmaları uygulayın.

Kimlik: NIST SP 800-171 R2 3.8.6 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Varlıkların taşınmasını yönetme CMA_0370 - Varlıkların taşınmasını yönetme El ile, Devre Dışı 1.1.0

Sistem bileşenlerinde çıkarılabilir medya kullanımını denetleme.

Kimlik: NIST SP 800-171 R2 3.8.7 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme El ile, Devre Dışı 1.1.0
Taşınabilir depolama cihazlarının kullanımını denetleme CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Medya kullanımını kısıtlama CMA_0450 - Medya kullanımını kısıtlama El ile, Devre Dışı 1.1.0

Bu cihazların tanımlanabilir sahibi olmadığında taşınabilir depolama cihazlarının kullanımını yasaklar.

Kimlik: NIST SP 800-171 R2 3.8.8 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme El ile, Devre Dışı 1.1.0
Taşınabilir depolama cihazlarının kullanımını denetleme CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme El ile, Devre Dışı 1.1.0
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Medya kullanımını kısıtlama CMA_0450 - Medya kullanımını kısıtlama El ile, Devre Dışı 1.1.0

Depolama konumlarında yedekleme CUI'sinin gizliliğini koruyun.

Kimlik: NIST SP 800-171 R2 3.8.9 Sahipliği: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure Backup Sanal Makineler için etkinleştirilmelidir Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. AuditIfNotExists, Devre Dışı 3.0.0
Yedekleme ilkeleri ve yordamları oluşturma CMA_0268 - Yedekleme ilkeleri ve yordamları oluşturma El ile, Devre Dışı 1.1.0
Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Tüm medyanın güvenliğini sağlamak için denetimler uygulama CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama El ile, Devre Dışı 1.1.0
Anahtar kasalarında silme koruması etkinleştirilmelidir Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. Denetim, Reddetme, Devre Dışı 2.1.0
Anahtar kasalarında geçici silme etkinleştirilmelidir Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. Denetim, Reddetme, Devre Dışı 3.0.0

Personel Güvenliği

CUI içeren kuruluş sistemlerine erişim yetkisi vermeden önce bireyleri görüntüleyin.

Kimlik: NIST SP 800-171 R2 3.9.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sınıflandırılmış bilgilere erişimi olan personeli temizleme CMA_0054 - Sınıflandırılmış bilgilere erişimi olan personeli temizleme El ile, Devre Dışı 1.1.0
Personel taraması uygulama CMA_0322 - Personel taraması uygulama El ile, Devre Dışı 1.1.0

CUI içeren kuruluş sistemlerinin sonlandırmalar ve aktarımlar gibi personel eylemleri sırasında ve sonrasında korunduğundan emin olun

Kimlik: NIST SP 800-171 R2 3.9.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sonlandırmadan sonra çıkış görüşmesi yapma CMA_0058 - Fesih üzerine çıkış görüşmesi yapma El ile, Devre Dışı 1.1.0
Sonlandırma sırasında kimlik doğrulayıcıları devre dışı bırakma CMA_0169 - Sonlandırma sırasında kimlik doğrulayıcıları devre dışı bırakma El ile, Devre Dışı 1.1.0
Aktarım veya yeniden atama eylemlerini başlatma CMA_0333 - Aktarım veya yeniden atama eylemlerini başlatma El ile, Devre Dışı 1.1.0
Personel aktarımında erişim yetkilendirmelerini değiştirme CMA_0374 - Personel aktarımında erişim yetkilendirmelerini değiştirme El ile, Devre Dışı 1.1.0
Sonlandırma veya aktarım durumunda bildirimde bulun CMA_0381 - Sonlandırma veya aktarım durumunda bildirimde bulun El ile, Devre Dışı 1.1.0
Çalışanlardan ayrılan veri hırsızlığına karşı koruma ve bu hırsızlıkları önleme CMA_0398 - Çalışanlardan ayrılan veri hırsızlığına karşı koruma sağlama ve bu hırsızlıkları önleme El ile, Devre Dışı 1.1.0
Personel transferi üzerine erişimi yeniden değerlendirme CMA_0424 - Personel transferi üzerine erişimi yeniden değerlendirme El ile, Devre Dışı 1.1.0

Sonraki adımlar

Azure İlkesi hakkında ek makaleler: